Oracle: Java, Crapware und wie man darüber redet

Dass Schweigen manchmal eben nicht Gold ist, musste auch Oracle angesichts der aufgeheizten Diskussionen um die Sicherheitslücken in Java feststellen. Fehlende Stellungnahmen schürten hier häufig Unsicherheiten und vermittelten ein eher unvorteilhaftes Bild von den Vorgängen in Oracles Sicherheitsabteilung. Um dem etwas entgegen zu arbeiten, nahmen Oracles Security Lead Martin Smith und Donald Smith, Director of Product Management für das OpenJDK, nun an einer Telefonkonferenz unterschiedlicher Leiter von Java User Groups teil und versuchten, ein wenig Willen zur Besserung zu demonstrieren.

Gleich zu Anfang machte Martin Smith deutlich, dass es momentan zwei Ziele in Bezug auf Java gäbe: erstens Java zu reparieren und zweitens dafür zu sorgen, dass die Bemühungen auch nach außen kommuniziert würden. Zwar hätte man schon einige Schritte unternommen, um den ersten Punkt umzusetzen, und arbeite auch nach wie vor daran, Lücken zu schließen, allerdings wüssten viele Nutzer nicht mit den Neuerungen umzugehen. Dabei wies er auf die mit Java 7 Update 10 eingeführten Möglichkeiten hin, Sicherheitslevel beim Ausführen von Java-Applikationen festlegen zu können – eine Option, die laut Sicherheitsforscher Adam Godwiak allerdings schon heute keine wirkliche Sicherheit garantieren kann.

Im Moment sieht Oracle laut Smith das Hauptproblem bei Java im Browser, allerdings gab er keine Einzelheiten zum weiteren Verfahren mit der Java-Laufzeitumgebung bekannt. Auch zu anderen Aspekten, wie den in letzter Zeit aufgekommenen Diskussionen um die mit den Sicherheitsupdates ausgelieferten Toolbars, die von vielen als sogenannte Crapware angesehen werden, hielten sich die Experten bedeckt. Besonders seien wohl viele Nutzer darüber verunsichert, dass die Installation bei nicht erfolgtem Opt-out erst zehn Minuten nach Ausführen des Updates begänne, was sie weitere Sicherheitsrisiken vermuten ließe. Donald Smith signalisierte zwar Verständnis, machte aber auf die historischen Zusammenhänge aufmerksam – man hatte die Toolbar-Installation aus Javas Sun-Zeiten übernommen – und gab zu Bedenken, dass ein Abschaffen "schwerwiegende Einschränkungen" für die Firma zur Folge hätte.

Offener hingegen gingen die zwei Abgesandten auf das Kommunikationsproblem ein: So wurden die Leiter der Nutzergruppen zu ihren Vorschlägen und Erfahrungen befragt und man wurde nicht müde zu erwähnen, wie wichtig die Kommunikation, nicht nur zwischen Oracle und den Endnutzern sondern auch den Entwicklern wäre. Eine Strategie oder sogar Inhalte die momentan weiterzugeben wären, ließen aber auch hier auf sich warten. Der einzig konkrete Vorschlag bestand darin, mehr Technikkonferenzen wahrzunehmen, um mehr mit Entwicklern außerhalb der eigenen Reihen in Kontakt zu treten. Außerdem sollten bei sich bietender Möglichkeit mehr Interviews gegeben werden. Vorschläge der Anwendergruppenleiter, die sich naturgemäß eher auf Informationen für Endnutzer bezogen, versprachen Oracles Vertreter an die Verantwortlichen weiterzuleiten.

Nach dem Gespräch, das sich als MP3-Datei herunterladen lässt, bleibt das weitere Vorgehen also weitgehend unklar, wobei einige Quellen momentan bezweifeln, dass der durch die etwas ziellose Unterhaltung angedeutete Pfad eine Besserung darstellt. (jul)