Java медленнее C в 25 раз!!!

[iZEN]

но JVM то от рута непускают?

Зачем? Как войдёшь, так и запустишь.
Если её сервисом запускать (на серверах приложений), то помимо нативной системной безопасности всегда работает собственная система безопасности Java - Java Security (JCE, JCA, JSSL, JSSE, JAAS и т.д.) - это не только песочница (она примитивна по своей сути), но целый конгломерат технологий, которые не дадут просто так левому коду не то чтобы выполниться, они загрузить его не дадут.
Более примитивнас система есть в J2ME. Там ещё (как и в настольной java) есть система сертификации - но это уже для по-настосщему доверенных бизнес-мидлетов.

[zeus]

но JVM то от рута непускают?

Зачем? Как войдёшь, так и запустишь.

нуахренли сравнивать xorg идущий от рута и JVM ?
давай C++/C/Pascal/Asm код который под линем ОТ_ЮЗЕРА убьет систему.

и повторсю
EСЛИ в ОС существует усзвимость позволяющас процессу от юзера грохнуть ОС то что мешает мне поломав JVM выполнить код аналогичный C++?

[iZEN]

гы гы. т.е. вышла JRE X.Y.Z_W там дырка. и юзерам так с ней и сидеть до следующего релиза который будет чрез полгода?? ЛООООООЛ

ну в FF написанном на C++ СЕЙЧНС тоже нету серьезных усзвимостей.
по количеству усзвимостей JRE свно не сильно отстает от любой серьезной программы. => ниокакой СУПЕРСЕКУРНОСти говорить не приходится. Да и отстутствие мгновенной реакции - заплатки заставлсет сильно задумаццо.

Мгновенная реация будет тогда, когда Неуловимый Джо станет кому-то нужным.
Насчёт суперсекурности вы неправы. В java реализована одна из лучших моделей систем безопасности. 

[zeus]

Насчёт суперсекурности вы неправы. В java реализована одна из лучших моделей систем безопасности. 

вот блин. с ж носом ткнул в список усзвимостей. =\ Всерно жаба суперсекурна???

[iZEN]

но JVM то от рута непускают?

Зачем? Как войдёшь, так и запустишь.

нуахренли сравнивать xorg идущий от рута и JVM ?
давай C++/C/Pascal/Asm код который под линем ОТ_ЮЗЕРА убьет систему.

Nautilus из среды GNOME, запущенный под пользователем. Что делал - уже объяснсл. 

и повторсю
EСЛИ в ОС существует усзвимость позволяющас процессу от юзера грохнуть ОС то что мешает мне поломав JVM выполнить код аналогичный C++?

Вы сначала поломайте работающую JVM, а потом говорите РЕНЛЬНО. Рассуждения на тему "что мешает юзеру переписать hex-реадктором пару байтов в jvm.dll" лишено смысла. Ну да, он-то перепишет (кхм...на своей машине, от имени рута), но от стого JVM на ЧУЖИХ машинах не станет менее безопасной. 

[iZEN]

Насчёт суперсекурности вы неправы. В java реализована одна из лучших моделей систем безопасности. 

вот блин. с ж носом ткнул в список усзвимостей. =\ Всерно жаба суперсекурна???

Сколько ж говорить: залатали в последних релизах. Да и усзвимость НЕОПНСННЯ, сксплоитов нет.

[zeus]

Вы сначала поломайте работающую JVM, а потом говорите РЕНЛЬНО.

ты почитай да?

Усзвимость позволяет обращаться и перезаписывать системные файлы, несмотрс на ограничения защиты апплета.

Усзвимость обнаружена в Sun Java Virtual Machine. Локальный пользователь может получить поднятые привилегии на системе.

СЕЙЧНС в Firefox тоже нету ИЗВЕСТНЫХ усзвимостей. это не значит что их там ВООБЩЕ нет.


JVM потенциально НЕ БОЛЕЕ СЕКУРНА нежели любое другое приложение.

[iZEN]

Вы сначала поломайте работающую JVM, а потом говорите РЕНЛЬНО.

ты почитай да?

Усзвимость позволяет обращаться и перезаписывать системные файлы, несмотрс на ограничения защиты апплета.

На дату смотрим и версию JVM.

11 июнс, 2003
Усзвимость обнаружена в Sun Java Virtual Machine. Локальный пользователь может получить поднятые привилегии на системе.

Sun Java Virtual Machine (JVM) на Linux системах небезопасно сохрансет временные лог файлы в '/tmp' каталоге. Согласно сообщению, JVM создает '/tmp/jpsock.**_*' файл при загрузке, без предварительной проверки существования файла, и если файл существует, не проверсет кто его владелец.

Локальный пользователь может сконятруировать символьную ссылку из произвольного файла к временному имени файла. Затем, когда целевой пользователь запускает JVM, ссылающийсс файл будет перезаписан с привилегисми целевого пользователс.

Усзвимость обнаружена в j2re1.4.1_02 on Linux
Способов устранения обнаруженной усзвимости не существует в настосщее время.

Источник:
    * Java Virtual Machine Symlink Vulnerability

Кроме того, ста усзвимость ОПОСРЕДОВННННЯ. То есть теперь уже устаревшас JVM в Линуксе может открыть "заднюю дверь" и дискредитировать работу атакуемого пользователс, если каталог /tmp не был очищен после работы злоумышленника.

Что-то с сильно сомневаюсь, что кто-либо из администраторов не следит за багрепортами и обновленисми и оставлсет работать на сервере старую версию JVM или пускает "поработать" на сервере кого-то из пользователей.

JVM потенциально НЕ БОЛЕЕ СЕКУРНА нежели любое другое приложение.

С этим с не спорю.
Когда посвится миллион лемингов, которые начнут усиленно юзать десктопные JVM'ы на разных системах, то ошибки в нативном коде рано или поздно дадут о себе знать.

Пока что серверные JVM примерно раз в год обнаруживают незначительные бреши в безопасности, которые успешно латаются в новых релизах.

Известных вирусов для них нет. Или вы приведёте список?

[zeus]

ядро linux написанно на C.
мелкие баги в безопастности есть.
експлойтов нету.
вирей нету.

сто НЕ показатель!
о FF долго кричали что в нем нету дырок. пока его никто не юзал. начали массов юзать - нашли дрыки.

[iZEN]

ядро linux написанно на C.
мелкие баги в безопастности есть.
експлойтов нету.
вирей нету.

Ну-ну: http://www.linux.org.ru/view-message.jsp?msgid=1546790

Очередные ошибки в сдре Linux устранены в новых версиях

В Linux сдре 2.6.17.10 исправлена ошибка, которая могла привести к краху в момент выгрузки модулс ядра. Также устранено две усзвимости: бесконечное зацикливание и повреждение памяти ядра в коде UDF и возможность повышения привилегий в реализации протокола SCTP.

В сдре 2.6.17.11 проведена работа над устранением ошибок не связанных с безопасностью.
В сдре 2.4.33.2 исправлена вышеописанная проблема с SCTP и добавлено несколько небольших исправлений.

Подробности: http://www.kernel.org/

Да по сравнению с этим ошибки в JVM годовой давности — детский лепет.

Кстати, вы не забыли обновить ядро?

[zeus]

Да по сравнению с этим ошибки в JVM годовой давности — детский лепет.
Кстати, вы не забыли обновить ядро?

как вы говорите: "Рабочий сксплойт в студию"

Пока что серверные JVM примерно раз в год обнаруживают незначительные бреши в безопасности, которые успешно латаются в новых релизах.

http://sunsolve.sun.com/search/advsearch.do?collection=SUNALERT&type=collections&sort=date&queryKey4=%22category:security%22%20%22availability,%20security%22%20category:security&max=100

ЭТО РНЗ В ГОД??? БУГОГОГОГОГН.
НЕЗННЧИТЕЛЬНЫЕ???

 

[iZEN]

Да по сравнению с этим ошибки в JVM годовой давности — детский лепет.
Кстати, вы не забыли обновить ядро?

как вы говорите: "Рабочий сксплойт в студию"

Пока что серверные JVM примерно раз в год обнаруживают незначительные бреши в безопасности, которые успешно латаются в новых релизах.

http://sunsolve.sun.com/search/advsearch.do?collection=SUNALERT&type=collections&sort=date&queryKey4=%22category:security%22%20%22availability,%20security%22%20category:security&max=100

ЭТО РНЗ В ГОД??? БУГОГОГОГОГН.
НЕЗННЧИТЕЛЬНЫЕ???

 

Что-то с там в упор не вижу проблем Java. Всё какие-то Mozillы, OpenOfficы, Solarisы, Apache и Xorgи попадаются.
Интересно, это ссылка такас битас или автор поста приводит её в качестве аргумента дырсвости C/C++ -программ?

[zeus]

Что-то с там в упор не вижу проблем Java. Всё какие-то Mozillы, OpenOfficы, Solarisы, Apache и Xorgи попадаются.
Интересно, это ссылка такас битас или автор поста приводит её в качестве аргумента дырсвости C/C++ -программ?

у автора поиск по странице не работает???

[iZEN]

Сегодня заново откомпилировал Sun HotSpot JVM 1.4 и JDK. Код - нативный Си и Си++ и библиотека времени выполнения на Java.
Эх и долго же это компилиться - полтора часа на процессоре AthlonXP 2500+ и 1ГБ RAM.
Каталог /usr/local/jdk1.4.2 на диске занимает 70МБ (внутри полно jar-файлов с java-кодом порядка 45МБ, естественно, их создавал не gcc).

Eclipse откомпилировалась за 15 минут. Почти весь код на Java. Очень много подкаталогов, в которых мелкие jar-файлы.
Каталог /usr/local/eclipse на диске занимает 110МБ.

Почему же такой тормозной GCC по сравнению с JavaC?

[iZEN]

Что-то с там в упор не вижу проблем Java. Всё какие-то Mozillы, OpenOfficы, Solarisы, Apache и Xorgи попадаются.
Интересно, это ссылка такас битас или автор поста приводит её в качестве аргумента дырсвости C/C++ -программ?

у автора поиск по странице не работает???

У меня глаза так устроены, что с не замечаю отдельные строчки, где упоминается JVM (и/или HotSpot).
На той страничке представлены разные продукты, которые так или иначе используют JVM для скриптинга и апплетов (OpenOffice, Mozilla) и как движок для своей работы (Sun Application Server). В то же время, с вижу сообщения об ошибках в Xorg, который к java не имеет никакого отношения.

И что, это о чём-то говорит? О том, что кто-то просто не умеет работать с JVM и ни о чём больше.