Mark Geeslin Asurion

Die Liste des OWASP TOP 10 basiert auf tatsächlich „in the wild“ entdeckten Sicherheits­lücken und Schwachstellen.

Eine Kombination aus unterschiedlichen Faktoren hat erheblich dazu beigetragen, das Bewusstsein innerhalb der Softwareentwicklungswelt für das problematische Wesen der Sicherheit zu stärken. Faktoren sind spektakuläre Datenpannen, angebliche Übergriffe von Geheimdiensten, strengere Datenschutzgesetze und -bestimmungen sowie einfach eine bessere Ausbildung innerhalb der Branche. Tatsächlich ist der Zeitpunkt gekommen, an dem die Kompetenz eines Entwicklers nicht mehr nur von seiner Fähigkeit abhängt, Softwaresysteme zu analysieren und aufzubauen, sondern auch von seiner Fähigkeit, von Grund auf sichere Systeme zu entwickeln (Security by Design).

Die Java-Community ist seit Langem aktiver Gegenstand der anhaltenden Diskussion über Sicherheit, weniger aufgrund ihrer positiven Beiträge als wegen der berüchtigten Sicherheitslücken in Java-Installationen. Allerdings war Java, trotz der Fehler und Fehltritte im Lauf der Jahre, in seinen Grundlagen als eine sichere Alternative zu früheren Systemen und Sprachen gedacht, die zu einer Zeit entwickelt wurden, in der außerhalb von Militär und Geheimdienst noch keiner das Thema Sicherheit auf dem Radar hatte. Vergleichen wir Java mit dem Großteil seiner Vorgänger, ist es nach jeder objektiven Bewertung noch immer die weitaus sicherere Sprache und Plattform.

Vor diesem Hintergrund sollte es keine größere Überraschung sein, dass Java 9 eine Reihe neuer Sicherheitserweiterungen mitgebracht hat, die die Stabilität von Sprache und Plattform verbessert. Einige davon haben die Sicherheitsbewussten schon seit langer Zeit sehnlichst erwartet.

Protokollsicherheit

Zusätzlich zur nativen Unterstützung für HTTP/2 umfasst Java 9 Support für mehrere Protokolle, die speziell auf die Sicherheit ausgerichtet sind. Im Grunde zielt HTTP/2 nicht auf Sicherheitsfragen per se ab, sondern eher auf Effizienzfragen und Support für Binärinhalte, Multiplexverbindungen und Push Promises. Aber Java 9 beinhaltet auch Unterstützung für eine Reihe von sicherheitsorientierten Protokollverbesserungen, wie DTLS und OCSP-Stapling oder Zertifikatstatusanforderungen.

DTLS (Datagram Transport Layer Security) kommt zum Einsatz, um Datagram-Kommunikation in einer Weise zu sichern, die von TLS so geringfügig abweicht, wie eine nicht verbindungsorientierte Transportschicht dies zulässt. In der Praxis bedeutet das, DTLS ist im Endeffekt TLS für die UDP-Kommunikation, obwohl auch andere Datagram-Protokolle unterstützt werden. Vor Java 9 enthielt die Sprache keine native Unterstützung für sichere Datagram-/UDP-Kommunikation. Ein Entwickler, der einen sicheren Kommunikationskanal aufbauen wollte, war gezwungen, zusätzlich zur Kommunikation über benutzerdefinierten Anwendungscode zwischen der Verwendung von TLS und TCP (die für den speziellen Dienst nicht unbedingt geeignet waren) Drittanbieterlösungen oder „Roll your own“-Verschlüsselung beziehungsweise Authentifizierung zu wählen.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Java Magazin 6.18 - "Scala"

Alle Infos zum Heft
579837775Java 9 und die Sicherheit
X
- Gib Deinen Standort ein -
- or -