Inforworld evidenzia quello che molti sviluppatori non amano sentire: Java sta diventando il nuovo Cobol (linguaggio non molto amato) e al pari di quest’ultimo è ormai utilizzato più sul lato server che sul lato client. Le applicazioni per internet vengono ormai sviluppate con Ruby on Rails, PHP, AJAX e altri linguaggi e anche Microsoft con la sua piattaforma .NET spinga per l’eliminazione di Java dall’ambiente enterprise.
Mozilla Foundation ha annunciato che bloccherà alcune versioni del plug-in Java da Firefox e anche Microsoft non consentirà l’esecuzione di plug-in con Explorer 10 per l’interfaccia Metro, Java compreso. I plug-in bloccati da Mozilla contengono varie vulnerabilità sfruttabili per esecuzione arbitraria di codice. Le falle sono così elevate a detta di Microsoft che gli exploit che sfruttano Java superano quelli che utilizzano Flash o i PDF.
Mettere a posto le falle non è un problema: Oracle rilascia regolarmente patch per Java man mano che queste vengono individuate; il problema sono gli utenti, generalmente poco inclini a scaricare e installare gli update man mano che questi sono disponibili, lasciando aperte falle di vario tipo. Il problema continua a essere presente anche dopo che Oracle nelle ultime versioni della JVM per Windows ha integrato messaggi e avvisi che invitano con insistenza ad aggiornare il software quando necessario. Un metodo che potrebbe spingerebbe gli utenti a scaricare gli update potrebbe essere l’integrazione negli aggiornamenti automatici del Windows Update, il sistema che permette di scaricare e installare in automatico gli update quando disponibili. Microsoft non può ad ogni modo integrare questo meccanismo per via di alcune vecchie dispute legali con Sun (ora Oracle).
Apple distribuisce gli update per Java tramite Aggiornamento Software ma è sempre stata molto lenta nel rilasciare le patch quando queste erano disponibili. Con OS X 10.7, Java non è più incluso di default nel sistema operativo ma è possibile installarlo quando qualche applicazione lo richiede. L’ultima vulnerabilità scoperta su OS X si è diffusa per colpa della casa di Cupertino, corsa ai ripari solo quando è stato diffuso un malware specifico.
Per quanto concerne la sicurezza di OS X, coem abbiamo già riportato nelle scorse settimane, sviluppatori e stimati esperti nel campo della sicurezza valutano positivamente l’integrazione del Gatekeeper nel futuro OS X 10.8 Mountain Lion. L’idea è stata accolta in generale favorevolmente (una spiegazione dettagliata si trova sul blog degli sviluppatori della software house Panic) e per tanti, Apple sta andando nella giusta direzione. “Dimostrano di sapere anticipare i tempi e hanno considerato l’ipotesi che in futuro il malware potrebbe rappresentare un problema anche su OS X” ha detto Charlie Miller, noto e apprezzato ricercatore del settore. “È forse davvero l’unica soluzione a lungo termine nei confronti del malware” continua Miller, “hanno compreso che l’approccio usato nei dispositivi iOS funziona e alla maggiorparte delle persone non crea problemi”. E ancora: “Stanno cercando di migliorare la sicurezza di OS X ed è un modo intelligente di farlo”.
Come abbiamo riportato in questo articolo, per impostazione predefinita gli utenti del futuro sistema operativo potranno installare solo applicazioni firmate dagli sviluppatori mediante certificati digitali (l’opzione può essere disattivata dalla sezione “Sicurezza e Privacy” delle Preferenze di Sistema), un meccanismo che consente di installare le app solo se queste provengono da una fonte sicura. Sarà anche possibile eseguire applicazioni “non firmate” disabilitando la relativa opzione nelle Preferenze di Sistema o scegliendo espressamente questa opzione con il tasto destro del mouse. Resta da capire cosa accadrà in futuro: la paura di alcuni è che un giorno Apple arriverà al punto di consentire la sola esecuzione di applicazioni scaricate dal Mac App Store. Per il momento non vi sono indicazioni in questo senso ma, chissà, forse Mountain Lion sarà utilizzato come sistema di test per capire quanti sviluppatori aderiranno alla certificazione. Se questi saranno molti, non è da escludere in futuro la chiusura ad app provenienti da fonti non ritenute sicure.
[A cura di Mauro Notarianni]