Oracle ha rilasciato una nuova versione di Java SE 7 che introduce un’importante novità per la sicurezza. Gli amministratori IT possono ora impostare regole specifiche per consentire esclusivamente l’esecuzione di applicazioni e applet fidate, bloccando così qualsiasi tentativo di attacco esterno. La funzionalità è denominata Deployment Rule Set, integrata in Java 7 Update 40, offre la possibilità di creare una whitelist sotto forma di file XML da copiare sui computer aziendali.
La maggior parte degli utenti può evitare rischi per la sicurezza disattivando il plugin del browser o eliminando completamente il software dal PC. Molte aziende però non possono seguire questa strada, in quanto le applicazioni aziendali richiedono il supporto Java. Allo stesso tempo, non possono installare le nuove versioni per questioni di compatibilità. Secondo una recente indagine, oltre l’80% dei computer enterprise esegue Java SE 6, per il quale Oracle non rilascia più patch gratuite.
La funzionalità Deployment Rule Set permette di creare un file XML contenente regole che le RIA (Rich Internet Applications) Java, ovvero applicazioni Web Start e applet, devono rispettare. L’amministratore IT specifica l’indirizzo o il titolo delle app e le azioni associate: esecuzione senza avviso di sicurezza, esecuzione standard (il plugin visualizza tutti gli avvisi) o blocco. Il file XML viene firmato con un certificato digitale fornito da una authority fidate, incluso in un archivio JAR e copiato in una directory specifica su tutti i computer dove queste regole devono essere applicate. Se, per qualche motivo, il file JAR diventa pubblico, il certificato viene inserito in una blacklist e bloccato.
Le aziende devono ovviamente installare Java 7 Update 40, ma è comunque possibile creare regole per le applicazioni compatibili con le vecchie versioni del plugin. La funzionalità è indipendente dal browser utilizzato, quindi non è più necessario implementare diversi metodi di protezione. Gli esperti di sicurezza credono che Oracle abbia finalmente scelto la strada giusta sul fronte della sicurezza. Tuttavia, qualcuno pensa che la soluzione migliore sia la riscrittura del codice di Java, un suggerimento che difficilmente Oracle metterà in pratica.