# Java  7 update 51



## elo63 (16. Jan 2014)

Hallo,

habe jetzt ein java update gemacht und es geht nicht mehr.

Also auf der java Seite erkennt er meinen Rechner mit der neusten java Version.

Wenn ich auf Seiten wie heise.de gehe und einen javacheck machen will geht es nicht.

Liveskat geht auch nicht mehr

Ich habe diese Seiten auch im Java Controll Center in Exception Sites freigegeben, geht dennoch nicht.
habe auch Java Deployment Toolkit deaktiviert

bringt alles nichts, weiss jemand rat, habe es auch schon neu installiert.

mfg

elo63


----------



## Sen-Mithrarin (17. Jan 2014)

1) du solltest java im browser vielleicht nicht deaktivieren wenn du es nutzen willst

2) wenn das java.com-test-applet funktioniert ist alles ok, dann liegt der fehler bei den anderen anbietern

3) wenn auch ein re-install nicht hilft kann es auch am system liegen, krasseste aber meist erfolgreiche methode : platt-machen


----------



## lucie (17. Jan 2014)

HILFE

dieses Problem beschäftigt mich auch seit 2 Tagen, der Java-Tester erkennt zwar das ich Java habe, aber dann kommt die Mitteilung, ..... nicht überprüfen, ob Java installiert und im Browser aktiviert ist !

Habe schon alle FQA gelesen und ausprobiert.. es ändert sich nichts.

Bitte wer kann helfen ? 
;(


----------



## Sen-Mithrarin (18. Jan 2014)

also ich hab mir jetzt mal den spaß gemacht und das upate51 installiert ... und es macht genau das was ich erwarte : die beiden test-applets von heise werden korrekt geblockt da sie nicht mehr dem aktuellen standard entsprechen > fehler liegt hier eindeutig bei heise !

aktueller standard sieht halt vor das man applets nicht mehr als einfache klasse ausliefert sondern als jar mit korrektem manifest und wenn möglich / nötig auch signiert

applets die diesen anforderungen nicht (mehr) gerecht werden werden dann natürlich korrekterweise geblockt


@elo
thema skat : liegt wie gesagt am anbieter > die app erfüllt nicht die nötigen anforderungen für applets ...


----------



## TC (21. Jan 2014)

Manchmal ist es ein wenig zu kleinkariert, so zu denken. Ok, manche mögen das jetzt als philisophische Ansicht ansehen, Fakt ist jedoch, daß sich Oracle sich so keine große Freunde macht.

Java ist auch in vielen Webanwendungen im Embedded-Bereich vertreten, ich kenn es bei Anwendungen für Telefonanlagen, HP benutzt es bei seinen Switchen in vielen Webanwendungen, ebenso in der Oberfläche der iLo Schnittstellen, so auch Dell. Das sind alles Anwendungen, die sind i.d.R. unmöglich zu aktualisieren, das bezahlt mir kein Kunde den Aufwand.

Es ist für mich ein recht hoher Aufwand, hier alles nachzupflegen, um irgendwann mal auf ein solches System connecten zu können. Die Alternative ist dann eine eigene VM mit geschlossener Umgebung, alten Browsern etc. Aber kann es das sein? Wie ein Kollege in einem anderen Forum schrieb - kann nicht einfach mal funktionieren?

Ich lese in zig Foren Hinweise, die Sicherheitseinstellungen herunterzuschrauben. Nur ist dann doch das Problem ein ganz anderes, wieso funktioniert ein System erst, wenn diese Sicherheitseinstellungen auf ein minimum reduziert worden sind? Klar, wenn ich eigene Anwendungen schreibe, dann kommt dieses Problem gar nicht erst auf. Nur das ist nicht die Regel.

Für den Anwender muß es funktionieren und das mit minimalem Aufwand. Wenn sich viele Anwender beschweren, so gibt es 2 Möglichkeiten - viele Anwender sind doof oder das Produkt hat im Kern ein Problem, ich plädiere für letzteres.


----------



## lucie (21. Jan 2014)

Hallo,

die grundsätzliche Frage, ob Java oder nicht möchte ich hier nicht stellen.
Ich habe jetzt sehr lange gebraucht, um festzustellen warum dieses Update auf meinem Rechner (windows-Explorer) verschiedene Seiten blockt.

Leider ist dieser Hinweis auf der offiziellen Java-Seite nicht zu finden. Auch nicht bei den Hinweisen, welche Sicherheitseinstellungen zu ändern sind. 

Warum macht Oracle den vielen Anwendern das Leben so schwer ?
;(


----------



## Sen-Mithrarin (22. Jan 2014)

naja ... oracle reagiert damit eben darauf das java in letzter zeit einfach zu lachs mit solchen dingen umgegangen ist ... und dafür wurde java ja auch kritisiert ...
jetzt macht man also was um im aktuellen weltweiten wahn von wegen nsa hier und überwachung da zumindest ein bisschen sicherheit wieder reinzubringen ... und es ist wieder nicht recht ...

sicher ... vielleicht hätte oracle darauf etwas mehr aufmerksam machen sollen müssen als nur irgendwo mal nebenbei in den entwickler-docs die neuen features zu erwähnen, aber fakt ist : oracle hat damit versucht etwas für die sicherheit der user zu tun

und das beinhaltet nun mal das es für applets und webstart-anwendung neue sicherheitsrichtlinien gibt die einfach strenger sind als die alten ... und wer da nicht nachzieht wird halt ausgesperrt ... und meiner meinung nach auch völlig zu recht

java selbst ist nur die platform ... und wenn diese sich im laufe der zeit ändert müssen entwickler da nun mal mit machen um den laufzeitumgebungen der user weiterhin gerecht zu bleiben ...


das ganze jetzt auf oracle abschieben das diese es den usern verkomplizieren würden halte ich für das falsche ende dieses "problem" anzugehen, denn wie man es korrekt macht wurde ja dokumentiert, lediglich die umstellung wurde nur im dev-changelog angegeben anstatt breit proglamiert ...


----------



## TC (22. Jan 2014)

Oracle reagiert? Dann würden in diversen FAQs auch entsprechende Hinweise stehen.

Fakt ist, daß genügend Webseitenbetreiber überrascht wurden, ich kenne einige und es wurden hier auch einige genannt.

Wie ich erwähnte, gibt es auch genug Anwendungen, die sind nicht einfach mal eben so aktualisiert. Ich werde nicht ohne einen triftigen Grund integrierte Anwendungen von Servern aktualisieren, nur weil Teile beim Webfrontent nicht mehr so klappen, wie sie es sollten. Das kann ich noch bei eigenen Maschinen machen, beim Kunde zahlt mir das niemand. Wir reden hier quasi - um es lasch auszudrücken -  von sowas wie einem Bios-Update, diese Schnittstellen ermöglichen einen remote-Zugriff auf die Maschinen, wie als ob man vor Ort wäre, auch bei ausgeschaltetem Zustand.

Die Sicherheitsprobleme, die Java hat(tte), sind vorwiegend ausbrechen aus der Sandbox. Diese haben nichts mit irgendwelchen an Domains gebundenen Zertifikaten zu tun.

Der Anwender will, das ist unumstritten, Sicherheit und Einfachheit. Beides ist nicht unbeding in jedem Fall kompatibel zueinander. Und dazu zählt bei vielen Anwendungen halt hochladen -> geht. Wenn es nicht geht, dann wird auf andere Quellen ausgewichen. Und es liegt dann auf Seiten des Herstellers, hier Oracle, den Benutzern Hilfestellung zu geben.

Versuche mal eben schnell eine Java-Anwendung, die ihrerseits Verbindungen zum Server/zu mehreren Servern aufbaut, in ein CDN zu legen und sicherzustellen, daß es beim Anwender keine Warnungen gibt. Viel Spaß.


----------



## Sen-Mithrarin (22. Jan 2014)

du haust hier gerade wirklich einiges durcheinander

worum es geht : darum das oracle die jar-spezifikation verschärft hat was zu nötigen anpassungen bei applets und webstart-apps führt
was du versuchst daraus zu machen : irgendwelchen servlet- und embedded-kram

zeigt doch schon : du hast dich mit der thematik um die es hier geht nicht beschäftigt

an server-code oder "retail-apps" muss man nichts ändern ... sondern lediglich an applets und webstart-apps ... und für diese gab es schon immer recht strenge vorschriften ... und wenn oracle die jetzt ein bisschen anzieht ist es aufgabe des anwedungs-entwickler diesen änderungen zu folgen um eben konform zu der ausführungs-platform des users zu sein ...

oracle selbst stellt wie gesagt nur die platform bereit ... ist aber mit sicherheit nicht dafür verantwortlich das anwendung XY korrekt läuft ... und schon gar nicht wenn diese nicht den spezifikation entspricht ...


und zum punkt das es angeblich nirgendwo einsehbar gewesen wäre : RELEASE NOTES !


> Changes to Security Slider:
> 
> The following changes to Security Slider were included in this release(7u51):
> Block Self-Signed and Unsigned applets on High Security Setting
> ...


es wird also ganz eindeutig erklärt : in der standard-einstellung "hohe sicherheit" (und der slider hat ja nur noch medium, high und very high) eine gültige signatur sowie im manifest ein permession-tag vorhanden sein muss ... und alles was dem nicht gerecht wird blockiert wird

weiter unten ist zwar noch das hier zu finden


> Exception Site List:
> 
> The Exception Site List feature allows end users to run Java applets and Java Web Start applications that do not meet the latest security requirements. Rich Internet Applications that are hosted on a site in the exception site list are allowed to run with the applicable security prompts.


aber warum das nicht richtig läuft ... hmm .. bug-tracker



um es also noch mal ganz kurz zusammen zu fassen

1) oracle hat die sicherheitsrichtlinien verschärft und dies auch gekennzeichnet
2) anwendungen die diesen neuerungen nicht nachkommen werden zukünftig blockiert
3) das feature "exception list" hat noch die eine oder andere macke


und um dir noch mal richtig eins reinzudrücken : es ist aufgabe des anwendungs-entwicklers seine produkte zu warten
oder ums runter zu brechen : du bist in der pflicht den kram bei deinem kunden aktuell zu halten
ist das nicht möglich (warum auch immer) wird die anwendung halt möglicherweise nicht mehr richtig oder gar nicht mehr funktionieren


----------



## TC (22. Jan 2014)

Sen-Mithrarin hat gesagt.:


> du haust hier gerade wirklich einiges durcheinander
> was du versuchst daraus zu machen : irgendwelchen servlet- und embedded-kram



Ich rede nicht von servlets, ich rede von Anwendungen, die ihrerseits Weboberflächen zur Verfügung stellen und diese könnten Java-Applets beinhalten.

Wie du selber schreibst "das feature "exception list" hat noch die eine oder andere macke", wenn das gehen würde, dann könnte ich auch sauber solche Ausnahmen von zentraler Stelle ausliefern. Klappt aber nicht sauber.

Und dann bleibt noch das Problem CDN. Wenn ich im vorfeld nicht weiß, welche Domains ein Applet ausliefern werden, kann ich kein Java-Applet zentral ablegen - ich weiß ja nicht, wie ich es signieren soll.

Klar haben wir hier andere Betrachtungsweisen, ich bin kein Java-Entwickler, ich habe früher Projekte an der Uni in Java geschrieben, aber seit 10 Jahren nicht mehr. Für eigene Projekte (php, C, C++) hab ich auch keinen Aufwand, eben neu compilieren und ausliefern, mach ich ja auch so. Nur ist das bei Webanwendungen anders, hier hab ich je nach content extrem hohe Zugriffszahlen. Und wenn ich wie die Tage Werbung in Chats lese, wie "kommt zu ..., keine Anmeldung, kein Java-S******" (sic) dann spricht das schon Bände.

Klar, aus Entwicklersicht hast du recht. Nur wenn viele Anwender ein Problem haben, dann hilft es nicht, wenn weniger Entwickler recht haben. Die Anbieter werden zu anderen Produkten wechseln.

Aber ein Anbieter will kein Support-Aufwand oder einen so geringen wie möglich,  und wenn die Chance, daß ein Applet auf die Nase fällt bei irgendwelchen Updates groß ist und bei einer Flash-Anwendung nicht, dann weiß ich, was sie einsetzen werden.


----------

