sábado, 28 de janeiro de 2012

Hacking: Segundo Release Candidate do JavaSnoop 1.1

JavaSnoop é uma ferramenta de segurança, que foi desenvolvida para testar (re: hacking) aplicações em ambientes desktop Java ou applets. É uma ferramenta que permite que o utilizador possa interceptar os métodos, alterar dados e de outra forma, "hackear" aplicações Java em execução no computador. JavaSnoop realiza essa tarefa, permitindo que você possa anexá-la a um processo existente (como um depurador) e imediatamente, começar a adulteração de "chamadas de método", executando código personalizado, ou apenas assistir o que está acontecendo no sistema.

Mas, como fazer essa atribuição a um processo já existente? Ele instala stageloading "hooks", utilizando a Java Instrumentation API e trabalha com alguns bytecodes. A GUI desta ferramenta é tão fácil de lidar, que quase parece que o utilizador não ter qualquer conhecimento sobre Java. Como pré-requisito para funcionamento, JavaSnoop precisa de uma plataforma JDK ao invés de um JRE. Além disso, se você tentar anexar a um sistema de 32-bits enquanto JavaSnoop foi iniciado com 64-bits em Java ou vice- versa, ele não funcionará.

Fonte: Under-Linux

Fechada Falha Crítica no Apache Struts 2

Os desenvolvedores do web framework Java Apache Struts 2, lançaram a versão 2.3.1.2. O lançamento veio com a intenção de fechar uma falha crítica em versões do Struts 2.0.0 até 2.3.1.1, que permitia a execução de comandos remotos. A vulnerabilidade fazia com que fosse possível ocorrer uma proteção em torno do OGNL, uma linguagem de expressão utilizada para obter e definir propriedades de objetos Java, para que expressões arbitrárias pudessem ser avaliadas.

Um exemplo dado no alerta, mostra como um invasor pode acionar o método java.lang.Runtime.getRuntime() .exec() para executar um comando arbitrário, caso uma ação vulnerável tenha ​​existido. Esta não é a primeira vez que OGNL apresenta problemas: em 2008 e 2010, problemas semelhantes permitiram a manipulação não autorizada e execução de classes Java.

Fonte: Under-Linux

Desenvolvedores Apache Tomcat Aconselham Atualizações Para Evitar Ataques DoS

Os desenvolvedores do Apache Tomcat, estão aconselhando os usuários dos ramos 7.0.x, 6.0.x e 5.5.x do servlet container Java e JSP para atualizar para as últimas versões lançadas, a 7.0.23, 6.0.35 e a 5.5.35. Este aviso foi porque recentes investigações, revelaram ineficiências na forma como um grande número de parâmetros e valores de parâmetros foram tratados pelo Tomcat.

A análise da recente colisão de hash denial-of-service (DoS), havia permitido que os desenvolvedores identificassem todas as "ineficiências alheias", que podem ser exploradas por um pedido especialmente criado, fazendo com que grandes quantidades de CPU sejam ser consumidas. Para resolver o problema, os desenvolvedores modificaram o código para processar eficientemente um grande número de parâmetros e valores.

O projeto foi discretamente liberando as correções ao código do Tomcat; o ramo 7.0.23 apareceu no final de novembro de 2011, e o 6.0.35 chegou no início de dezembro. Agora que eles lançaram uma atualização para a última das versões suportadas atualmente, a 5.5.35, os desenvolvedores têm publicado seus "advisory". Usuários que podem baixar a versão atualizada a partir do site do Tom Cat.

Fonte: Under-Linux

Novos Módulos no JBoss Seam 3.1

A versão 3.1 do framework web Java EE JBoss Seam foi lançada hoje, dia 16 de janeiro. No anúncio, o líder do projeto Shane Bryzak, destaca as mudanças desde a versão 3.0, que foi lançada em abril de 2011. Por exemplo, o módulo Solder agora inclui o Seam Catch, a tecnologia de configuração Seam Config XML e SeamServlet para integração servlet. Seam Transaction, anteriormente uma parte Seam Persistence, está agora disponível como um módulo separado que fornece transações relacionadas com recursos para Java Beans baseado em POJO.

Novos módulos incluem Seam Social para integração de redes sociais como Twitter, Facebook e LinkedIn, Seam Reports para incorporar mecanismos de relatórios diversos, JCR e Seam para interagir com repositórios de conteúdo Java. Além disso, os desenvolvedores corrigirem quase 250 falhas encontradas no framework.

Fonte: Under-linux

Fornecedores de tecnologia Java frustrados com a Oracle

A Oracle assumiu oficialmente a responsabilidade sobre os destinos da linguagem Java há cerca de dois anos e tem percorrido recentemente caminhos difíceis: os seus planos de licenciamento para uso da tecnologia e para tornar mais modular a plataforma levantam algumas preocupações entre fornecedores e utilizadores. As implicações de segurança associadas são um dos principais factores para esta atitude.

Os planos do fabricante sobre a versão 8 da Java Platform Standard Edition, com lançamento agendado para o próximo ano, envolvem a inclusão do Jigsaw Project, conferindo modularidade à Java. Mas algumas organizações estão preocupadas com a forma como os planos da Oracle podem entrar em conflito com o sistema de módulos OSGi já orientada para Java.

No campo do licenciamento, a Canonical, fabricante do sistema operativo Ubuntu (Linux), queixa-se da nova atitude da Oracle. Considera que o fabricante já não permitirá aos fornecedores de sistemas baseados em Linux redistribuir as suas versões comerciais de Java, causando-lhes dificuldades.

Entretanto, o fabricante de tecnologia de segurança F-Secure considera que a Java traz dificuldades de segurança. A Oracle recusou-se a comentar estas questões.

Inclusão do Jigsaw causa irritação
Com a incorporação do Jigsaw, a Oracle pretende oferecer um sistema de módulos acessível e escalável para grandes sistemas de software legados em geral e para o Java Development Kit (JDK), em particular, disse Mark Reinhold, arquitecto-chefe da Oracle, numa entrada recente do seu blogue.

Mas alguns antevêem um potencial conflito entre o esforço da Oracle com o Jigsaw e o OSGi, um sistema já existente de módulos dinâmicos para Java, adoptado por organizações como a Eclipse Foundation (da qual a Oracle é membro), para ferramentas de código aberto. “O principal risco inerente ao projecto Jigsaw é ser posicionado para suplantar um sistema de modularidade bem sucedido “, diz Ian Skerrett, representante da Eclipse.

“O OSGi é amplamente utilizado em todo o ecossistema Java nas implementações de IDE, canais de serviços empresariais e servidores de aplicações. O projecto Jigsaw terá de suportar a ‘modularização’ da plataforma Java, mas também deve oferecer uma perfeita integração com o ecossistema OSGi”.

Em vez de beneficiar a utilização de Java, o Jigsaw só vem complicar a situação, diz Peter Kriens, diretor técnico da OSGi Alliance: “O Jigsaw está a inventar uma coisa que não se encaixa muito bem no Java”.

Uma possível solução na proposta Penrose
Em “flutuação” num grupo de discussão on-line chamado OpenJDK está uma proposta chamada Penrose, visando implantação de interoperacionalidade entre o Jigsaw e o OSGi. Este projecto pretende suportar a cooperação entre o Jigsaw e a OSGi: explicará como as implantações OSGi podem ser executadas segundo o “runtime” OSGi, e como se poderá carregar módulos de Jigsaw, em matrizes OSGi.

Tanto Skerrett e Kriens perspectivam grandes benefícios nos objectivos da Oracle, com a de modularidade para a Java. “Melhora significativamente a robustez e flexibilidade dos sistemas de software, em especial nos maiores. Ao reduzir a complexidade do software, a modularidade permite uma maior reutilização e facilidade de implantação, permitindo aos sistemas uma adaptação à mudança, de forma mais fácil e segura”, explica Skerrett.

Menos liberdade para distribuidores
Na visão da Canonical, com a sua nova abordagem de licenciamento, a Oracle apenas permitirá que os utilizadores descarreguem Java directamente do seu site. “Isso deixa-nos em apuros, porque a versão actual da Java que actualmente distribuímos tem problemas de segurança conhecidos e explorados”, diz a CEO da Canonical, Jane Silber. Os problemas no Java 6 envolvem a exploração remota de vulnerabilidades através do plug-in dos browsers, explica.
Para abordar a questão da segurança, embora sem resolvê-la, a Canonical lançou uma actualização concebida para desactivar parte da versão Java nas máquinas dos utilizadores. A Canonical ainda pode distribuir o código-fonte aberto da versão OpenJDK da Java, mas esta não é equivalente às implantações comerciais da Oracle, diz Silber.
Os problemas da Canonical remontam ao anúncio feito pela Oracle de que a OpenJDK seria a implantação de referência da Java. Isso resultou na suspensão da licença de distribuidor de Java gratuita concedida à Canonical.

No fim de contas, a Oracle quer que as distribuições Linux migrem para o OpenJDK, mesmo se um distribuidor seleccionar uma versão comercial como a melhor para os seus clientes.

Rhino Java ilustra riscos de segurança
O laboratório da F-Secure considerou a Java nociva para a segurança dos sistemas e aconselhou as pessoas a removerem o plug-in nos seus browsers. “Os riscos da Java são bem ilustrados pela vulnerabilidade recente associada ao Rhino Java (CVE-2011-3544). Se alguém estiver a usar Java, mas não a versão mais recente, pode estar vulnerável. Portanto, ou se está constantemente a verificar se estamos a usar a última versão da Java – ou é preciso livrar-se dela por completo”, defende a F-Secure.Manter a Java segura não é tarefa fácil, pois é um “destino” apetecível para os hackers.

“A Java é actualmente como a ‘fruta mais baixa na árvore’ do conjunto de software de terceiros normalmente atacado”, diz Sean Sullivan, consultor de segurança na F-Secure. Enquanto a Java é uma grande plataforma de sistemas de back-end, em PC com Windows facilita a execução de código indesejável, sustenta.

Tarefa ingrata da Oracle
A Oracle tem inúmeros projectos Java para gerir e actualizar, tais como o lançamento da NetBeans 7.1 IDE equipada com suporte para a JavaFX 2.0, uma plataforma de aplicações Web. Sendo a Java uma tecnologia tão onipresente, 16 anos ou mais depois do lançamento, quem está ao comando do seus destinos não consegue evitar a irritação de algumas pessoas, quando decide como a plataforma deve evoluir.

Na verdade, as divergências sobre a Java são nada de novo: os esforços da Apache Software Foundation para obter a certificação apropriada para a implantação Apache Harmony prolongam-se desde o “reinado” da Sun até ao da Oracle, por exemplo.
Mas talvez a Oracle tenha de moderar a sua atitude, se quiser preservar e maximizar o seu investimento substancial na Java. Caso contrário, arrisca-se a que os utilizadores procurem alternativas.

Fonte: ComputerWorld.pt

segunda-feira, 16 de janeiro de 2012

Caso Java: juiz contesta provas na disputa Oracle x Google

Oracle e Google prosseguem na disputa sobre a acusação de uso indevido da linguagem de programação Java [adquirida pela Oracle com a compra da Sun Microsystems no sistema operacional Android, desenvolvido pela gigante de buscas.

O juiz William Alsup decidiu que um e-mail potencialmente prejudicial do engenheiro Tim Lindholm da Google não será levado em consideração no julgamento, de acordo com uma decisão tomada ontem (4/1) na Corte da Califórnia do Norte.

“Fomos convidados por Larry e Sergey a investigar alternativas tecnológicas que existem no Java para utilizar no Android e no Chrome", escreveu Lindholm em um e-mail em agosto de 2010, referindo-se aos cofundadores da Google Larry Page e Sergey Brin. “Concluímos que precisamos negociar uma licença para Java."

A Google forneceu uma declaração de Lindholm em que ele afirmou que antes de escrever o e-mail, "não tinha realizado revisões de patentes e direitos autorais nem tinha revisado o código-fonte. Além disso, não fez e não tinha formação jurídica necessária para identificar se havia infração no Android ", escreveu Alsup. "Essa declaração não é convincente”, acrescentou o juiz.

A decisão de Alsup pode não ter sido a palavra final do juíz, já que a Google entrou com uma petição em um tribunal de apelação na esperança de manter o e-mail fora do processo. Não está claro quando o assunto será resolvido.

O juiz também negou uma moção do Google que queria fazer com que a Oracle parasse de apresentar testes que supostamente mostram melhor desempenho para o Android usando Java, escreveu.

Segundo o juiz, uma decisão final sobre o caso poderá ser feita em 19 de março ou próximo dessa data.

Fonte: ComputerWorld

Liberado NetBeans 7.1

Os desenvolvedores do NetBeans da Oracle, lançaram o ramo NetBeans 7.1, sendo liberado um pouco mais tarde do que o inicialmente previsto. O recurso headline para esta versão do IDE baseado em Java, com suporte multi-plataforma é a introdução do JavaFX 2.0, incluindo a compilação, depuração e profiling de aplicações, e sua implantação para o desktop como um applet ou via JNLP.

O NetBeans JavaFX requer o suporte, atualmente proprietário, mas sendo aberto, do JavaFX 2.0 SDK - com downloads para sistemas Windows e Mac OS X - embora isso já tenha sido incorporado na versão mais recente do Java SDK 7. Melhorias para o Swing GUI Builder, suporte a CSS3 e ferramentas para depuração de Swing e interfaces de usuário JavaFX, também foram incorporadas. Lembrando que o suporte CSS3 é necessário para o JavaFX, uma vez que é o caminho para personalizar os controles de interface do usuário. Entretanto, sua adição também beneficia NetBeans 7.1 (suporte web), através da conclusão de código e documentação do CSS3.


Saiba Mais:

[1] Oracle Technetwork Java http://www.oracle.com/technetwork/ja...ads/index.html
[2] NetBeans IDE 7.1 http://netbeans.org/community/releases/71/

Fonte: Under-Linux

NASA Lança Web Site Open Source

A NASA, National Aeronautics and Space Administration nos EUA, lançou o site code.nasa.gov, um site que servirá como fonte central de informações sobre os projetos de código aberto da agência. O site, que ainda está em fase alpha, se destina a ajudar a unificar e expandir as atividades open source da NASA, juntamente com uma visão geral dos seus projetos da mesma natureza, como o visualizador 3D interativo do mundo World Wind Java.

Para ajudar os funcionários da NASA a liberar mais software em código aberto, o site também tem uma página com um Guia que fornece instruções, e how-tos para o desenvolvimento e publicação de programas de fonte aberta. Na sequência, planejado para a segunda fase de desenvolvimento, e ainda não implementado, há um fórum para os usuários do site discutirem projetos de código aberto e descobrirem de qual forma eles podem contribuir para um projeto da NASA.

A terceira fase incidirá sobre instrumentos e mecanismos, incluindo controle de versão, acompanhamento de problemas e documentação. Durante essa fase, a NASA vai "criar e hospedar uma ferramenta, serviços e cadeia de processos para reduzir ainda mais a responsabilidade de ingressar no mundo open".

Fonte: Under-Linux

Apache Struts Lança Atualização para Corrigir Falha de Segurança

Os desenvolvedores do Apache Struts, lançaram a versão 2.3.1.1 do seu framework de código aberto para aplicações baseadas em Java. A atualização fecha falhas críticas no Struts 2, fixando quatro vulnerabilidades de segurança antigas e bem conhecidas, que poderiam ser exploradas por um atacante para contornar as restrições, utilizando invocação de método dinâmico (CMS) para injetar e executar códigos Java maliciosos.

As versões 2.1.0 a 2.3.1 do Struts são afetados; upgrade para 2.3.1.1 corrige os problemas. Alternativamente, o alerta de segurança fornece instruções para alterar um arquivo de configuração que mitiga esse problema. Mais informações sobre a atualização podem ser encontradas nas notas de versão e assessoria de segurança do projeto. Struts 2.3.1.1 está disponível para download a partir do site do projeto.

Fonte: Under-Linux

Um padrão JSON para Java

Uma nova interface Java para o processamento de dados enviados em formato JSON foi aprovado pelo Java Community Process (JCP) como uma Java Specification Request (JSR). Com 10 votos à favor e 6 abstenções, o Comitê Executivo aprovou a JSR 353, que deve servir como uma base para o desenvolvimento padronizado de futuras APIs JSON e vai permitir que aplicativos sejam menores e mais portáveis por não terem que embutir as bibliotecas JSON necessárias para seu funcionamento.

A proposta planeja permitir que produção e consumo de texto JSON seja feito de forma contínua, de forma similar à API StAX usada para XML. Também tem como objetivo produzir um modelo de objeto e API para o texto JSON, de forma similar à API DOM para XML. O pedido especificamente aponta que agregar texto JSON a objetos Java, e vice-versa, não será uma meta da especificação. Os desenvolvedores afirmam que eles pretendem integrar a JSR 353 ao Java EE 7, assim como oferecer uma variante independente para o Java SE 6 e posteriores.

O grupo de usuários brasileiros, SouJava, votou à favor da JSR e comentou favoravelmente o trabalho do líder de especificação, Jitendra Kotamraju, que demonstrou sua habilidade em envolver desenvolvedores da comunidade mais ampla. A IBM também ofereceu seus comentários e apontou que seu voto favorável foi exclusivamente baseado nos méritos técnicos do JSR 353 e que não pretendia votar, devido aos termos de licenciamento ao quais os pedido foi submetido pela Oracle [PDF]. A IBM acrescentou que prefere uma licença livre e em código aberto, mas que isso não é um criticismo aos termos de licença aplicáveis da JSR.

Fonte: Linux Magazine

Canal AJJ

Senhores venho aqui divulgar o AJJ - Aljug Java Job.

Sua finalidade é ter currículos de interessados quando existir um vaga de emprego, estágio ou traineer. Este canal visa também as empresas solicitarem candidatos a vagas.

Lembrando que não é apenas para vagas em JAVA mais também para vagas em TI.


O e-mail para comunicar é o ajj@aljug.com.br


Até mais!

quinta-feira, 12 de janeiro de 2012

ALJUG de 2011 à ALJUG 2012 - Retrospectiva

Pessoal,


Devido a grande correria de começo de ano só agora pude escrever sobre o ano feliz que o aljug passou em 2011.

Este ano vimos a oracle e a google entrarem em conflito por causa do Andriod, luta esta que se arrasta até os dias atuais.

Vimos também o Pai do Java ,James Gosling, se aventurar em um novo ramo.

Vimos o Twitter mudar seu front-end para Java.

Vimos o OpenJDK ser referência de implementação.

Vimos ser apresentado pela oracle a Java Magazine e Java 7

Vimos novidades para o Java 8.

Conseguimos realizar o 1º Aljug Java Day com a parceria do SOUJAVA e da Oracle, onde tivemos a ilustre presença do Stephen Chin apresentado o JavaFX e seus novos recursos.

Aumentamos o número de membros do ALJUG, mais ainda lutamos para fortalecer mais ainda nosso grupo.

Agora o Aljug se juntou com o JavaAL sendo um só grupo com a mesmas finalidades.

Vimos o aljug fazer uma parceria com o Cesmac para o evento. E já estamos certos de 2012 ter a sengunda edição no mesmo período.

Para o ano de 2012:

Esperamos que possamos nos fortalecer mais ainda tentando fazer mais encontros, promover mini-cursos, promover conhecimento.

Contamos com ajuda de vocês para cada vez mais crescer.

Criamos um canal de banco de curriculum o AJJ é só mandar seu curriculum para ajj@aljug.com.br

E estamos com ideias para em breve se der tudo certo anunciar.


Aljug - Nosso Objetivo é ajudar!