L'installation de Java sur OS X 10.8 est-elle sûre ?

L'environnement d'exécution Java (JRE) et le SDK Java ne sont pas intrinsèquement dangereux. Le problème repose en grande partie sur certaines façons dont la JVM (Java Virtual Machine) accède à certains éléments du système d'exploitation (et peut être trompée).

Comme tout autre logiciel complexe, Java n'est pas différent de, disons, .NET sur une machine Windows ou Mono.NET sur n'importe quelle saveur.

Java sur un navigateur, cependant, est un monde différent (et c'est pourquoi vous pouvez le désactiver dans la plupart des navigateurs modernes), similaire (mais pas aussi mauvais) à ce qu'était ActiveX à l'époque d'Internet Explorer.

Vous pouvez avoir le JRE dans votre machine Macintosh, Linux ou Windows sans grand danger, puisqu'aucun élément du RE ou du SDK Java n'exposera de vulnérabilité à distance par défaut. Il s'agit simplement d'un tas de code qui se trouve sur votre disque dur.

Maintenant, si vous voulez savoir si l'exécution d'un logiciel Java est dangereuse, il n'y a aucun moyen de répondre à cette question sans plonger dans d'énormes arguments. Si vous voulez exécuter un logiciel Java, il suffit d'aller chez Oracle, de télécharger l'environnement d'exécution et d'exécuter votre programme Java. Il ne sera pas activé par défaut sur Safari (mais vérifiez pour être sûr) ou tout autre navigateur.

Cela dit, Java est ennuyeux (surtout son dispositif de mise à jour, que vous pouvez atténuer ou désactiver mais qui ne cesse d'être aussi ennuyeux, voire plus, que le dispositif de mise à jour de Flash si vous avez Flash). D'un autre côté, Oracle a finalement commencé à déployer des mises à jour plus périodiques pour Java afin que les vulnérabilités soient prises en charge plus souvent (ce qui est ennuyeux mais bon). Lorsque Apple contrôlait le SDK, ce n'était pas le cas.

Bien sûr, certains "experts en sécurité" s'écrieront que le fait d'avoir Java sur votre disque dur peut conduire à plus d'insécurité puisque si quelqu'un accède à votre ordinateur, il pourrait exploiter les vulnérabilités locales de Java. Croyez-moi, si quelqu'un accède à votre ordinateur (même à distance) au point de pouvoir exécuter n'importe quoi (y compris Java), vous avez un plus gros problème.

Donc si vous en avez besoin, allez-y et prenez-le.

Les exploits Java sont accessibles via Java sur les sites web. Il n'est pas nécessaire de l'activer. Par exemple, dans Safari, vous pouvez définir une préférence pour utiliser Java ou non.

Si vous avez une application java en ligne de commande (par exemple Bitcoin), le risque est alors le même que pour une autre application. Vous devez vous assurer que vous disposez de la dernière version des bibliothèques et des exécutables tiers pour rester à jour des correctifs de sécurité.