289
2013年3月編程語言排行榜:有毒的Java
2013年3月12日,Tiobe公布了新一期編程語言排行榜。Java依舊是占據第一的位置,C語言緊隨其後。值得注意的Objective-C持續發力,已經占到了第三的位置。咋一看榜單,前5條中C#下滑最快,從第3名下降到第五名。而其他語言都與之前沒有變化。
最近一段時間,關於Java安全性的新聞層出不窮。被傷害的不光是普通計算機用戶,甚至還包括蘋果公司、美國政府。此次安全風波波及麵之廣,恐怕是Oracle始料未及的。
1.黑客利用網頁漏洞進行攻擊
據國外安全研究機構稱,當前的Java版本中包含了一個嚴重的安全漏洞,可能導致電腦在訪問帶有惡意代碼的特定網頁時被感染。Window係統中的所有主流瀏覽器都可能被利用並感染,其中也包括Chrome。該漏洞也存在於蘋果最新的Mountain Lion操作係統。
為此,蘋果不得不單獨發布Java相關更新,以保證Mac用戶的安全性。素以跨平台性強著稱的Java,也讓所有運用他的人無處可藏。
2.Java安全機製
Java早期的安全框架強調的是通過驗證代碼的來源和作者,保護用戶避免受到下載下來的代碼的攻擊。Java安全模型的前三個部分——類加載體係結構、class文件檢驗器、Java虛擬機(及語言)的安全特性一起達到一個共同的目的:保持Java虛擬 機的實例和它正在運行的應用程序的內部完整性,使得它們不被下載的惡意代碼或有漏洞的代碼侵犯。相反,這個安全模型的第四個組成部分是安全管理器,它主要用於保護虛擬機的外部資源不被虛擬機內運行的惡意或有漏洞的代碼侵犯。這個安全管理器是一個單獨的對象,在運行的Java虛擬機中,它在對於外部資源的訪問控製起中樞作用。
Java簽名/證書機製,可以保障使用者,安全地調用外部提供的jar,防止你信任的jar被篡改。首先,Java的簽名,必須是基於jar包的。也就是說,你必須將你要提供的class,打包到jar裏。然後,通過Java 提供的簽名工具(jarsigner)對jar包進行簽名,發布。
簽名原理:使用非對稱算法,生成一對公鑰/私鑰。
3.Oracle應對Java漏洞危機
甲骨文軟件質量保證經理Eric Maurice透露,五個漏洞中有四個存在於桌麵係統的Java Web Start應用和瀏覽器Java小程序中。其中三個被通用漏洞評分係統評為10級,這是很嚴重的事情:如果Java運行在Windows XP這種默認以管理員身份運行的係統,那麼黑客能夠利用這些漏洞完全損害係統的保密性,完整性和可用性;在Linux或者Salaris這類以非管理員權限運行的係統中情況會好一些。安全研究人員對剩下的一個漏洞也做出過說明,該漏洞影響服務器部署的Java安全套接字擴展(JSSE),基於Lucky Thirteen攻擊SSL/TLS實現。
新的Java 6 _update41可以從甲骨文網站下載,而不是Java.com,目前必須手動下載。但Java 6 安裝程序的更新功能會提示用戶下載並安裝Java 7 _update15。這一切都在甲骨文的計劃中。甲骨文之前在網站上宣布,將啟動自動更新幫助Windows32位係統用戶完成升級。甲骨文將加快其對Java的修補速度。Maurice說,“甲骨文會繼續加快Java更新發布速度,特別是幫助解決桌麵係統瀏覽器的Java運行環境安全,以重樹安全信譽。”
其實這次Java漏洞危機並不是第一次,之前2010年也有報道宣稱Java漏洞會影響Windows運行安全。各位用戶還是盡量及時更新自己的Java,作為開發語言中舉足輕重的語言,Java的安全性還是值得信賴的。
前10名編程語言走勢圖
20到50名語言排行
下麵是第50到100的編程語言排名
(Visual) FoxPro, 4th Dimension/4D, ABC, Agilent VEE, Alice, Apex, AutoIt, AutoLISP, bc, C shell, CL (OS/400), Clipper, Clojure, Dart, Dylan, ECMAScript, Eiffel, Emacs Lisp, F#, Go, Groovy, Icon, IDL, Inform, Informix-4GL, J, JScript.NET, Ladder Logic, LPC, MEL, MUMPS, NATURAL, Oberon, OCaml, Occam, OpenCL, Oz, Pike, Q, REXX, S, sed, Simula, Smarty, SPARK, VBScript, VHDL, WebDNA, xBase, XSLT
最後更新:2017-04-03 21:30:13