Onbekende Gebruiker
|
#1 —
11/09/2013 14:09
Goedemiddag allen,
Ik ben eigenlijk eens benieuwd welke Java-versie jullie momenteel gebruiken voor Belpic (20.07) is nu de actuele versie.
Wat zegt men van Java? Welke versie? Volgens mijn handleiding die ik nog heb, is het versie J2RE 1.6 Update 27 (Java Runtime 6 Update 27). Waar halen jullie die informatie als die actueler zou zijn?
Groeten,
Sven
|
|
#2 —
13/09/2013 10:30
Dat zou ik ook wel eens willen weten, nog steeds Java nodig voor Belpic v22 en zoja, welke versie?
|
Onbekende Gebruiker
|
#3 —
13/09/2013 12:39
Wel Valentijn,
Ik haal het uit de laatste documentatie die ik hier heb ontvangen, en dat kwam van een CD als ik me niet vergis. En die bevat het volgende:
Voor deze nieuwe versie is de volgende software vereist:
- Minstens Java JRE 6, update 27:
- Fedict Middleware 4.0.0 of recenter (oudere versies zijn niet geschikt!):
- Belpic setup versie 20.07 build 1504
Nu dat is nou net de clue hier he. "Minstens" staat er duidelijk bij. Maar wil dit zeggen dat je pakweg mag upgraden naar de laatste versie van Java, zijnde Java SE 6 Update 45? Werkt Belpic dan nog naar behoren? Voor mij is dit alvast erg onduidelijk. Trial and error? Bellen naar de Helpdesk Belpic?
Is het voor iedereen duidelijk wat voor een risico je loopt met oudere Java-versies? En dat terwijl we toch spreken over een toepassing die onze identiteitsgegevens moet beheren voor gans Belgie? Daar stel ik mij toch wat beveiliging betreft, toch vragen bij... Ik geef maar eens twee mee:
http://arstechnica.com/security/2013/03/another-java-zero-day-exploit-in-the-wild-actively-attacking-targets/ en een iets recenter en heel erg concreet voorbeeld: http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Exploit%3AJava%2FCVE-2013-0422
En bekijk zelf maar eens alle Java CVE artikelen sinds Java SE 6 Update 27, en tel zelf maar eens hoeveel exploits er bij zitten met een score van 9+... Deze (van Update 37 bijvoorbeeld) moet je eens bekijken (onderaan in het artikel de tabel bekijken): http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html
Opnieuw: en dat voor de toepassing die al onze identeitsgegevens beheerd...
Wat mij betreft moet hier veel en veel meer duidelijkheid in komen. En dit start vanuit de ontwikkelaar zelf!
Ontwikkeld men vanuit een security-context? Houd men rekening hiermee in de ontwikkelcyclus heden ten dage, ook voor oudere toepassingen? Zeker voor dit soort gevoelige onderwerpen lijkt me dit geen overbodige luxe. Ik herinner me bijvoorbeeld nog Microsoft's Trustworthy Computing initiative dat van oorsprong ontstaan is vanuit beveiliging, betrouwbaarheid, etc... en specifieker binnen ontwikkelteams heeft men binnen Microsoft onder het TC initiative de zogenaamde SDL (Security Development Lifecycle) uitgewerkt; een ontwikkelproces dat ze vandaag de dag nog steeds volgen om de bedreigingen van vandaag de dag zo goed mogelijk te kunnen weerstaan.
Maar dat alles ten spijt: alles begint natuurlijk met een goede communicatiestroom naar je klanten toe... van ontwikkelaar naar overheid en gemeenten, van gemeenten naar burgers, middenstand, etc.. Voor Belpic is het (zou het moeten zijn) van ontwikkelaar naar overheid en gemeenten, en daar schort toch wel wat.
Groeten,
Sven
PS V-ICT-OR en deze forums zouden eigenlijk gesloten moeten zijn voor niet-leden!
|
|
#4 —
16/09/2013 10:15
Sven,
We draaien hier Belpic v.20.06 en één Belpic v.22.00 samen met de laatste versie van Java 6 -> JRE 6 update 45.
Ook zoals je reeds gehaald hebt uit de documentatie: MINSTENS JRE6 update 27
Het is nog steeds niet mogelijk om Java 7 te gebruiken.
Groeten,
Steven
|
Onbekende Gebruiker
|
#5 —
16/09/2013 20:24
Hey Steven,
Je zou denken: “"positief dat tenminste de laatste Java SE 6 Update 45 werkt”"… echter:
An sich zie ik niet hoe Belpic gebaseerd gaat/kan blijven op Java, gezien het feit dat Java een steeds groter wordende bron van security problemen aan het worden is/of zelfs al is.
Java SE 6 Update 45 is de laatst publiekelijk verkrijgbare Java 6 versie. Zelfs deze laatste versie bevat al bekende exploits en misbruiken die al zijn doorgedrongen tot in security testpakketten zoals Metasploit en Exploits packs zoals bv Neutrino, Sakura, en meer (actieve exploits!). Men realiseert zich blijkbaar de risico’s helemaal niet heb ik de indruk; zelfs al heb je Java SE 6 Update 45 geinstalleerd staan.
Nogmaals: voor een toepassing die onze identeitsgegevens beheerd…
En dan is er nog een Java SE 6 Update 51; uitsluitend te verkrijgen via het Oracle Java SE Support programma (betalend). Hierin worden wel nog nieuwe security updates voor gepubliceerd. Dit betalende programma van Oracle ken ik echter verder onvoldoende qua invulling en inhoud.
En hoe toevallig het ook mag zijn, enkele uren geleden lees ik dit op ZDNet: http://www.zdnet.be/article/151718/besmettingsgevaar-java-groeit-in-verontrustend-tempo
En voor diegenen die het echte werk willen doen en de ernst van de situatie mbt Java en Belpic willen begrijpen: zie http://www.securelist.com/en/analysis/204792303/Filling_a_BlackHole
Een situatie die onhoudbaar dreigt te worden voor Java. Het succes van Java dreigt zijn ondergang te worden. En Belpic is vooralsnog gehuwd met Java 6. Het lijkt opportuun dat wanneer men een actief ondersteunde runtime (.NET, Java) als development platform gebruikt, men daar ook mee in evolueert.
|
- Posts
- 1
- Organisaties
- Stadsbestuur Oostende
|
#6 —
23/03/2015 14:56
Beste allen,
topic ligt blijkbaar al een tijdje stil.
En zo zitten we nog steeds op java 6 tak.
Iemand al verder geraakt?
Hier heb ik Belpic laten draaien met java 8.40 > alleen is er een probleem om de SSL tunnel op te zetten naar 193.191.221.133:443
reden? door één of andere reden komt de popup voor EID-kaart niet meer opspringen, waardoor er geen authenticatie kan plaatsvinden.
Iemand een idee of meer succes?
|
Onbekende Gebruiker
|
#7 —
25/03/2015 15:54
Peter, hoe heb je dat gefixed gekregen? Want wij installeren op onze Belpic PC's ook nog steeds Java 6-45 specifiek voor die applicatie. Al de rest laten we wel op Java 8-40 draaien. Maar eigenlijk is het ongehoord dat die applicatie nog niet is aangepast naar minimaal Java 7-67 of zo.
|
- Posts
- 1
- Organisaties
- Raido BVBA
|
#8 —
08/07/2015 13:30
Wij zijn bezig met een nieuwe Citrix installatie voor een klant waarbij we tot nu toe alles hebben kunnen laten werken met Java JRE 8. Belpic start goed op enkel het opzetten van de verbinding lukt niet omdat ze bij Belpic nog geen TLS ondersteunen. Sinds Java 8.31 hebben ze SSL 3.0 uitgeschakeld.
We hebben nog geprobeerd om SSL 3.0 in te schakelen maar Belpic gebruikt Java op zo een manier dat er niet wordt gekeken naar de java security settings, deployment.properties files e.d. Ik vrees dat we nog een Java 6 versie ernaast gaan moeten installeren. Onvoorstelbaar dat voor dergelijk systeem er met een onveilig protocol moet worden gewerkt..
|
Onbekende Gebruiker
|
#9 —
30/08/2017 09:54
We zijn ondertussen twee jaar verder. Ik heb onlangs nog eens geprobeerd met de release van V25, maar als je naar 1.8 gaat krijg je weer een foutmelding als je Belpic opent. Iemand enig idee of het ooit nog komt?
|