montextealternatif

Application - Java (JRE) - Recapitulatif


Rédigé par admin le 4 commentairese

 

On m'a recemment transmis un document sur Java : Impressionnant de simplicité et d'esprit de synthese !! 

Pour rappel, l'environnement java est utilisé pour le fonctionnement d'"applis lourdes" [Qui necessite donc l'installation d'un client local sur la station], mais aussi depuis un navigateur [Aucune installation requise coté client].

Mais de trés nombreuses questions se posent :  ... cohabitation possible (ou pas) de versions majeures ou mineures differentes de Java ?,  sur quel type d'environnement (postes windows x64 ?,  x86 ?) , quel type de navigateurs sont necessaires (x86 ?, x64 ?),  etc ...
 

Ci-dessous un recapitulatif  des points principaux [Principes et Bonnes pratiques].
 

Le lien officiel vers http://www.ssi.gouv.fr/ :   ici 

                              
 
.
 
Présentation :
La technologie Java est aujourd’hui très répandue et utilisée par de nombreuses applications, que ce soit sous la forme :
            -  d’appliquettes exécutées   [depuis des clients légers (navigateurs Web) ] :
                --> Le risque de sécurité provient majoritairement de l’utilisation de ce module complémentaire
                     lors de la navigation
.   (p6/26)
           -  d'applications lourdes installées sur les postes utilisateurs. 


 
Pré-requis à l’exécution de ces applications : installation sur les postes utilisateurs d'un environnements d’exécution Java,c'est à dire  [JRE (Java Runtime Environment)]  
 
Remarque : Difference entre java et javascript :
                      -----> 2 languages differents, sans lien de parenté !
* Java nécessite un environnement d’exécution (JRE) ainsi que des modules complémentaires dans les navigateurs Web;
* JavaScript est déjà interprété nativement par les navigateurs (n’est pas sujet aux vulnérabilités qui affectent les JRE).
 
 
La Problématique

1- Les utilisateurs en Entreprise ne sont pas (normalement ...) "Administrateur Local" de leur poste :
  les  MAJs automatiques sur les stations sont donc le plus souvent désactivées. Dans cette configuration,
  les MAJs doivent donc être "poussées" (par Scripts ou par GPOs), ce qui est fait plus ou moins
  régulierement suivant les Equipes Systèmes ...

   ----> Peu nombreuses généralement, elle doivent se tenir au courant des alertes de sécurité, statuer sur
           les versions à "pousser", tester les descentes automatique des MAJs, gérer les cas où cela se
           passe "mal" (il y en a toujours..), en sachant quand même qu'au moment de la redaction de ce
           Post, on est en version 7u76... !! 

A titre d'exemple, dans le Service où je travaille [qui doit donc gérer ce type de problématique, mais aussi ceux liés aux mises à jour d'autres applis : Adobe Reader, ...etc], 
nous gérons un parc de 1200 users, toute une infra Serveurs (une 50éne, du Microsoft, du Debian, de l'Hyperviseur VMware), une archi de stockage SAN, la gestion des Masters clients (Création, Evolution, Résolution si probleme...),
 le 2eme et 3eme niveau d'un peu tout, et bien sur toute l'exploitation quotidienne  [AD, Messagerie, Sauvegardes ...], la gestion des projets, l'anticipation des evolutions internes (prise en compte des nouvelles technologies..)...etc,...
et nous sommes : 2 !! (1 Admin Système et moi-même (Tech systeme).   

Pas évident donc de se dégager du temps dans ces cas là ...

 

2- A cela vient s'ajouter le fait que certains Progiciels d'Entreprise sont compatibles uniquement avec une version bien précise de l’environnement d’exécution Java qui, dans la majorité des cas, est ancienne et vulnérable (Ce qui peut impliquer la  cohabitation de plusieurs versions du JRE, et donc la multiplication des risques ...)

 "...Une appliquette malveillante peut par exemple choisir de s’exécuter sur une version 1.5 vulnérable malgré la présence d’une version 1.6 à jour  ..." (p6/26)

 

3- Et enfin, le document du ssi.gouv.fr mettait en avant la faible efficacité des Antivirus en cas de problème.

 

 
Principes de cohabitations entre : Versions JRE, versions d'OS, et Navigateurs [versions et type (x86 ou x64)] 

Et oui, il existe des versions Java en x64 et en x86, pareil pour les OS (XP generalement en 32 bits, Win7 est en 64 bits),  et pareils pour les navigateurs ....  pas simple de s'y retrouver  !

 

  • Plusieurs versions du JRE peuvent cohabiter sur un même poste de travail :  

- Cohabitation même version majeure du JRE  : Rare

[necessiterai modification volontaire du dossier d’installation par défaut]. 

- Cohabitation de plusieurs versions majeures : Pas inhabituel 
- Cohabitation Versions java x64 et x86 : Possible 

 Remarque : Si une x64 est installéé, elle sera systématiquement utilisée par défaut lors de l'exécution d'une appli lourde 

 

  • Utilisation et remarques concernant le navigateur IE  : 

- IE est géneralement lancé en 32bits (la 64bits est peu utilisée)
- IE 32 bits n’utilisera qu’une version 32 bits du JRE
- IE 64 bits n’utilisera que la version 64 bits du JRE

 

  • Utilisation et remarques concernant navigateur Chrome  : 

A la différence de Microsoft Internet Explorer et de Mozilla Firefox, Chrome intègre un environnement d’exécution Java qui lui est propre.
Sa configuration ne dépend donc pas de la manière dont le JRE est déployé et configuré via le fichier "deployment.properties"

La configuration de l’environnement d’exécution Java de Google Chrome se fait indépendamment via des stratégies de groupe qui lui sont spécifiques et les modèles d’administration aux formats ADM et ADMX fournis par Google   : 

Après moult tests et vérifications dans le cadre de la mise en place d'un Master dans ma Collectivité : Cet environnement est mis à jour régulierement et automatiquement , même pour les users NON admin locaux !!

 

  • En cas d'installation : 

- L’installation d’une version du JRE antérieure à 1.6.0.10 inclu,  n’écrase pas les versions précédentes déjà installées.
- Pour les versions plus récentes,  le JRE 1.7.0_07 remplace le 1.7.0_06, par contre il ne remplacera pas le 1.6.0_35.

 

  • Par rapport aux versions de JRE  (32 bits ou 64 bits)

- Cohabitation des v32 et v64 des JRE  possible :  ["C:\Program Files  (x86)" et "c:\program Files"]
- Si installation de la v64 : Copie des principaux exe dans %system32% (java.exe, javaw.exe et javaws.exe

            * Une x64 est utilisée prioritairement sur les autres versions :

       ----> Si une x64 est installée, elle sera systématiquement utilisée par défaut lors de l'exécution d'une appli lourde.

            * Ici est toujours conservé la + recente version :

       ----> y compris si un JRE6 est installé après un JRE7. (version utilisée : java -version)

- Attention

"... une MAJ du JRE 64 bits ne corrigera en rien les vulnérabilités du JRE 32 bits installé et  donc la navigation Web via Internet Explorer 32 bits restera vulnérable face à une appliquette Java malicieuse,
 ce qui peut s’avérer être un piège pour l’utilisateur ou l’administrateur système..."

 

 
 
la mise  oeuvre  :

Je vous laisse découvrir en détail sur le site ...

Mais pour les pressés, les principes sont d'effectuer avant toute chose une phase d'inventaire (des scripts sont d'ailleurs proposés), et de référencer  :
-  Les applications Java (Lourdes ou légeres)  + Utilisateurs légitimes.
-  L'ensemble des postes de travail sur lesquels des JRE sont installés (+ versions) 

Le bût final étant (via des scripts d'ouverture de session et/ou des GPOs, ..etc) :
- De gérer de facon centralisée toute la partie MAJs Java.
- De désinstaller et d'interdire tous les modules JRE non legitimes.
- D'utiliser 2 navigateurs différents dans un objectif de "séparation des usages"  : 
  *  Le premier navigateur (+ Module JRE actif) ne doit pouvoir se connecter qu’aux plages @ IP internes.
  *  Le 2eme navigateur  (Dépourvu de java) pour les accès internet.

 

.

DClassé dans : Applications ,Mots clés : aucun

A propos de l'auteur, admin:

4 commentaires

Clair de Baie a dit : #1

Encore un site qui mérite des félicitations ! bel article

Agrandir pénis a dit : #2

bon site et bon post

MaxoSize a dit : #3

Good article

online advertisements a dit : #4

Hey very interesting blog!

rFil RSS des commentaires de cet article


Écrire un commentaire