Habe mittlerweile auch die Bestätigung vom Entwickler, dass sie die v9 parallel zur v11 pflegen/supporten und bewusst den Java-Dreck aus der v9 raushalten.
Beiträge von WalterSullivan im Thema „PDF bearbeiten oder ähnliches“
Guten Tag Gast. Schön, dass Du hereinschaust! Einen angenehmen Aufenthalt wünscht das CompiWare-Team. 
-
-
Weiß zufällig jemand, ob der PDF24 Creator in der Version 9.10 noch nicht diese JRE-Implementierung hat?
Seit dem v10 Release ist der Dreck ja leider Bestandteil.
Durch Zufall gesehen, dass sie die v9 ja auch noch updaten:
-
Ja, Oracle Java SE ist nicht mehr gratis weil es nicht-freie Komponenten enthält, sodass man besser auf OpenJDK ausweicht.
OK, Drive-by-downloads sind natürlich fies, aber da war das JRE sicher nur Mittel zum Zweck für die weitere Codeausführung, oder? Den Drive-by-download selbst dürfte es ja nicht verursacht haben, solange im Browser keine Java-Komponente lief. Wenn dann natürlich im JRE eine Rechteausweitungslücke war, kommt eins zum anderen und der Angreifer hat das System in der Hand.
Jup, genau so war das. Leider eine ziemlich üble Sache gewesen und der Angriff hätte nicht geklappt, wenn der JRE-Exploit nachgelagert nicht hätte ausgführt werden können. Seither bin ich im privaten Umfeld "Java-los".
-
Meinst Du da nicht eher das Java-Browser-Plugin? Im Browser ein Framework anzubinden, mit dem man beliebigen Code ausführen und auch auf das Dateisystem und die Programme des Systems zugreifen kann, war noch nie eine gute Idee. Glücklicherweise ist das Thema ja so ziemlich erledigt. Damit hat ein lokal installiertes JRE aber erstmal nichts zu tun. Lücken, die zur Kompromittierung eines Client-Systems mit installiertem JRE geeignet sind (das selbst nicht direkt Java-Dienste im Internet bereitstellt oder per Browser-Plugin kompromittiert werden kann), sind jetzt nicht wirklich häufiger anzutreffen als bei anderen Frameworks. Selbst bei der recht delikaten Log4j-Schwachstelle hätte man es ja erstmal schaffen müssen, das Logging einer lokal installierten Anwendung irgendwie zu beeinflussen - schwierig, wenn diese Anwendung nicht mit der Außenwelt kommuniziert, bzw. nur so, dass man diese Kommunikation nicht ohne Weiteres beeinflussen oder verändern kann. Aber genau das geht im Normalfall nicht einfach so von außerhalb, also braucht man schon mal ein zusätzliches Einfallstor. Wenn es sich natürlich beispielsweise um eine Java-basierte Chatanwendung handelt, über die Nutzer miteinander kommunizieren und man weiß, wie man einen Log-Eintrag provozieren kann, sieht das schon anders aus.
Das JDK wird aber auch in vielen Unternehmenssoftwares eingesetzt, ist Bestandteil vieler Web- und Cloud-Stacks und generell aus dem Internet praktisch nicht wegzudenken. Klar wird das ständig angegriffen und es wird auch immer wieder Lücken geben (schon allein auf Grund der schieren Größe des Ökosystems), aber generell würde ich nicht sagen, dass Java per se unsicher ist.
^Nur meine Sicht dazu! Ich will Dich nicht zu Java bekehren, ich mag es ja selbst nicht (aber aus anderen, technischen Gründen).
Nein, kein Browser-Plugin - wirklich die reine lokale Installation der JRE.
Bei uns im Unternehmen wird mittlerweile konsequent versucht auf jegliche JREs zu verzichten (zumal es ja da dann auch immer noch das Problem bzgl. "nur noch mit bestimmter Version lauffähig" gab). Meines Wissens nach gab es da ja auch mal eine Änderung und für kommerzielle Unternehmen ist der Einsatz mittlerweile kostenpflichtig (zumindest habe ich mal etwas in der Art gelesen).
Der Tenor zu den JREs und Macromedia bzw. später dann Adobe Flash war in allen damaligen Foren, die sich mit diesem Thema beschäftigt hatten, dass man wenn es nur geht auf die lokalen Installationen dieser Pakete verzichten sollte.
Bei mir (und etlichen anderen auch) kam damals die Malware-Infektion in einem großen Forum durch ein veraltetes (eine Version zurück) JRE zustande - ausgelöst durch einen Drive-by-download per Banner-Rotation beim Laden einer "malicious site".
-
Ist doch nur gebundeltes JRE aus dem OpenJDK, welches unter der GPL steht. Besser als so manches proprietäre closed-source Framework, welches andere Programme mitliefern oder voraussetzen, finde ich. Wenn ich da nur an QuickTime zurückdenke...
Das stimmt, aber leider ist die JRE das Einfallstor Nummer Uno für Schädlinge (und da spreche ich aus eigener Erfahrung) - genau wie damals der Adobe Flash-Dreck.
-
Ich habe noch die 9er Version drauf und fand das Tool seit Jahren richtig, richtig gut (ganz früher den PDF-Creater benutzt, bis sie bei einem Update den Leuten "Malware" untergejubelt haben).
Das ganz neue Release setzt aber anscheinend Java auf dem Rechner voraus und das ist für mich ein absolutes NoGo.
-
Kann ich nur bestätigen. Nutze die PDF24-Software auch. Überwiegend zum Zusammenfügen von einzelnen PDF-Dokumenten zu einer kompakten PDF-Datei der Übersicht halber. Das Tool kann weitaus mehr und als Freeware ist das schon "mächtig gewaltig" würde Benny von der Olsen-Bande sagen!!!
Bitte nicht mit Clone CD oder "Klonschaf Dolly" verwechseln !!!
Bei den neuen Versionen gibt es leider Java-Zwang (JRE), oder?
