…denn das ist sicher, solide und verständlich, haben sie uns gesagt:
Auch mit der gesamten Codebasis und einem Index darauf kann man nicht vorhersagen, was eine gegebene Java Codebase tun wird, wenn man sie startet. Es braucht auch noch Konfigurationsdateien […] Oder jedenfalls ist das, was wir denken sollen: Mit den Properties und der Codebasis können wir endlich versuchen zu verstehen, was Java tut. Und das wäre auch beinahe so, aber JNDI ist genau angetreten, dieses Problem zu beheben: Directory Lookups!
Statt also die Anwendung und ihre Konfiguration zu paketieren und dann die Pakete in Produktion zu installieren, können wir nun mit JNDI die Konfiguration vom Netz lesen. Das heißt, die eigentlichen Konfigurationsdateien, die uns sagen, was die Anwendung tut, sind… nicht mehr da. Fortschritt!
[…] Aber im Ernst: Viele behandeln den log4j-Exploit wie einen Bug, einen Programmierfehler, eine Verletzung einer Spezifikation. Genau das ist jedoch nicht der Fall: Es funktioniert – wortwörtlich – endlich einmal alles wie spezifiziert und dokumentiert: All die Modularität und dynamische Erweiterbarkeit von Java hat ganz wunderbar und genau wie geplant zusammengearbeitet und funktioniert. Darauf haben wir dekadenlang hingearbeitet!
Ob menschen wohl noch einmal kapieren werden, dass komplexität in der softwäjhrentwicklung das genaue gegenteil von sicherheit und robustheit ist? Nein, menschen werden auch weiterhin durch schmerzen lernen. Nur ohne das lernen.
Übrigens: dieser pätsch, den sie neulich noch überall angepriesen haben, um das klaffende sicherheitsloch zu schließen, funkzjoniert nicht.
Schwerdtfegr (beta) 