El título de esta noticia es el argumento que yo llevo haciendo años: el problema de seguridad de Java en el escritorio origina de un modelo de seguridad roto por parte de Oracle. Como han descubierto los sistemas operativos hace varios años, como han comenzado a descubrir los navegadores web más recientemente, los usuarios finales de los productos por norma general no se van a molestar en actualizar las aplicaciones que tienen instaladas. Por defecto, esas actualizaciones deben de suceder de modo transparente para el usuario, sin que él tenga que realizar ninguna acción e, idealmente, sin que tan siquiera se entere.

Debería haber alguna forma de desactivar las actualizaciones, cosa que puede ser útil en contextos empresariales. Pero para la inmensa mayoría de la población, para la  "inmensa mayoría del área de la superficie de ataque" desde el punto de vista de los hackers, la actualización automática y transparente es la solución adecuada. Porque si no las actualizaciones no van a suceder. Y que no sucedan es malo tanto para ellos como para el resto de los usuarios de Java, ya que incrementa el área de la superficie de ataque, y por tanto los incentivos de los hackers para atacar a Java.

La noticia de hoy no es que yo piense esto; si seguís el portal y el podcast estáis hartos de oirme decir esto. La noticia de hoy es que, por fin, tengo números para respaldar esta afirmación (haced clic en la imagen para ver el gráfico con tamaño original):