Äh, bevor ich noch mal ein Update installiere lass ich mindestens drei Wochen Sicherheitsabstand verstreichen *hust*

Wird das eigentlich über SA angeboten oder muss man das separat laden?

ach nun zeigt er es mit über die SA an

Der Link ist falsch: verweist auf "Java for OS X Lion 2012-003" vom 12.4. für Lion...

Das nenne ich mal vorbildhaft und zeitnah reagiert bzw. koordiniert von Apple. Bravo! So soll es sein!

Denn: das Update auf 1.6.0_33 seitens Oracle ist ebenfalls erst heute abend bzw. vor wenigen Stunden für alle anderen Plattformen erfolgt. Ein notwendig gewordenes dringend zwischengeschobenes und außerplanmäßiges Security-Update aufgrund von 14 teilweise als hoch eingestuften Sicherheitslücken: , , (Oracle: "Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply CPU fixes as soon as possible. This Critical Patch Update contains 14 new security fixes across Java SE products.").

Nicht nur Java 6 sondern auch Java 7 hat deshalb heute ein Update (Update 5) erfahren. Obwohl das Update 6 (im Zuge dessen erstmals auch das Java-Plugin für MacOSX von Oracle kommen wird) in wenigen Tagen kurz bevor steht.

Oracle Release Notes Java 6 Update 33 (JDK6u33)
Oracle Releae Notes Java 7 Update 5 (JDK7u5)

Apples anstehendes Java-Update ist zwar jetzt auch schon ein paar Wochen in der ADC-Pipeline für die Entwickler zum Testen bereitgestellt gewesen, jedoch lediglich als 1.6.0_32, also als Update 32 (und damit auf Augenhöhe von Oracles bis dato aktuellem Update 32). Das Ändern/Heraufheben auf das seit heute aktuelle offizielle Update 33 und damit das unmittelbare fast gleichzeitige Gleichziehen mit Oracle, das ist ein völlig neuer und absolut lobens- und bemerkenswerter Zug von Apple.

Warum eigentlich nicht gleich so und schon früher auch bei anderen Java-Updates? Es geht offenbar doch, zeitnah und fix zu reagieren und gepatchte Software schnell zum Kunden und Benutzer rüberzuschieben, damit der sie schnell hat.

Offenbar ist Apple das Flashback-Botnet ganz gehörig in die Glieder gefahren, sodass sie da nun schneller und ohne Zeitverzug reagieren (Zeitverzug, der das Botnet von unlängst überhaupt erst hat entstehen und es sich hat weiter ausbreiten lassen, während Apple die Mac-Benutzer völlig vermeidbar und unnötigerweise zu lang auf ungepatchten Java-Versionen hat sitzen und warten lassen und diese solange ungeschützt dem gezielten Ausnutzen dieser Sicherheitslücken ausgesetzt gewesen sind; eine dringliche Warnung seitens Oracle, dass diese Lücken aktiv ausgenutzt würden, hatte es da Wochen zuvor auch schon gegeben, und Apple tat trotz Oracles dringlichen Warnungen erstmal: nichts bzw. lieferte nicht aus. Erst als das Kind so richtig in den Brunnen gefallen war und bestürzende Zahlen über ein riesiges Botnet die Runde machten, da kam Apple dann plötzlich in Wallung).

Da hat sich das heutige Java-Update von Oracle noch kaum herumgesprochen in den einschlägigen Gazetten und Blogs, da zieht Apple mit Oracle schon gleich und liefert dieses dringend anempfohlene Update ebenfalls an seine Nutzer aus. Es geht also. Wie man staunend und zufrieden feststellen darf. Gut! Sehr gut! RICHTIG gut, Apple, besser geht's kaum! So soll es sein! Endlich habt ihr verstanden.

Früher hieß es mal, Java sei per se vom Design her sehr sicher.

Tekl: Das ist es vom Grundsatz her auch immer noch (Stichwort: Java Virtual Machine = Sandbox).

Doch wie immer steckt der Teufel im Detail, und es schleichen sich hie und da eben Implementierungsfehler seitens des Herstellers ein, weil auch da eben auch nur Menschen arbeiten, und Menschen machen eben nun mal ab und zu Fehler -- Fehler, die von anderen ausgenutzt werden können bzw. die nach genau solchen Schwachstellen gezielt suchen und damit das so gründlich durchdachte Sicherheitskonzept ab und zu mal durchkreuzen. Die Frage ist, wie man mit solchen gemachten Fehlern umgeht und wie schnell man sie ausmerzt und das Ergebnis dann an die Nutzer und Kunden weitergibt (und hier hat sich Oracle in der Vergangenheit leider auch nicht immer mit Ruhm bekleckert, auch Oracle braucht(e) teilweise zu lange, um Patches an seine Nutzer weiterzureichen).

Java hat es nicht ohne Grund ins Enterprise-Geschäft geschafft und ist dort seit Jahren ganz fest etabliert bzw. auf Basis von Java läuft im Enterprise-Segment so manche geschäftskritische Software, von der Du und andere Nutzer keine Ahnung haben, dass diese unter der Haube eigentlich auf einem Java-Stack läuft bzw. die gesamte Server-Anwendung auf einem Java-Server-Framework läuft, dem man das von außen weder ansieht noch anmerkt. Es läuft einfach. Stabil und zuverlässig, vom Grundsatz her sehr sicher und performant. Genau das, was das Enterprise-Segment seit Jahren braucht und haben will und auch bekommt und weshalb Java und Java-Server-Anwendungen gerade was das Web bzw. das Zusammenspiel mit dem Web angeht dort trotz aller Unkenrufe auch derzeit weiterhin hoch im Kurs steht.

Immer, wenn ich Java bisher bewusst im Netz erfahren habe, war es etwas langsames, klobiges und einfach gesagt grätig programmiertes.

Liegt das in der Natur der Sache, so von wegen plattformübergreifend, oder sind das einfach meine leidigen Ausnahmen? Ich schaudere z.B. bei der JRE von Ingram Micro.

Kann man denn jetzt wieder DHL Paketmarken ausdrucken. (Habe aktuell kein Paket zu verschicken ) Danke im voraus.

ing_rippi
Konnte man seit einiger Zeit schon wieder:

Ich habe 1.7 drauf, muss ich das jetzt jedes Mal von der Hand pflegen?
Oder wird es eine Updatefunktion wie z.B. über Softwareupdate geben? (unter Windows läuft es ja quasi auch komplett automatisch)

Oder wie macht ihr das?

Das mit der DHL Paketmarke würde mich auch stark interessieren. Nutze zur Zeit eine Beta die mir ein DHL Mensch empfohlen hatte.

da_andy:

Von Hand pflegen vs. Auto-Update: Noch musst Du es von Hand pflegen. Doch Oracle arbeitet an einem Auto-Update bzw. hat es für das kommende JRE7u6/JavaPlugin (JDK/JRE7 Update 6) in den Developer Previews bereits umgesetzt (auf Basis des bekannten und verbreiteten Update-Frameworks Sparkle , zu finden unter /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Frameworks/Sparkle.framework).

Oracles Developer Previews für das JDK7u6 und das JRE dazu, JRE7u6 , werden derzeit in 7-tägigem Rythmus aktualisiert. Aktueller Stand ist: June 06, 2012, nächste Aktualisierung also am und um den June 13, 2012, also heute oder morgen.

JDK7/JRE7 Update 6 wird in Kürze die Developer Preview-Phase verlassen und an die Nutzer und Kunden released werden, es finden derzeit letzte Tests statt, entsprechende Verlautbarungen hat Oracle dieser Tage bereits gemacht.

Zum Auto-Update-Mechanismus zumindest des JRE/Java-Plugins auf Basis von Sparkle siehe dazu auch:

Oracle Wiki: Mac OS X Port Project Status (Punkt Features not in public macosx-port)

bzw. ab JRE7u6 Developer Preview :

Apple Systemeinstellungen Java Update
und
Apple Systemeinstellungen Java Erweitert Automatischer JRE-Download

Das betrifft das im System installierte (oder auch in javabasierte WebApps eingebettete) JRE/JavaPlugin.

Zudem hält sowohl Apple als auch Oracle die Entwickler von javabasierten Apps (die in Zukunft auch im AppStore landen dürfen -- für ungläubige Zweifler: ja, genau das ist von Apple angedacht und wird erlaubt werden), welche für den Mac entwickeln wollen, dazu an, sich nicht mehr auf das Vorhandensein eines zentral im System verankerten JRE zu verlassen, sondern ihr eigenes in der betreffenden App eingebettetes JRE mitzubringen und das dann entweder via Sparkle oder seitens Aktualisierung der ganzen App aktuell zu halten.
Das langjährige Java-Credo "Write Once Run Everywhere" (WORE) wird dadurch leider einmal mehr heftig aufgeweicht bzw. hat damit einen kräftigen Tritt vors Schienbein bekommen (dieses hochwürdige Credo es hat ohnehin noch nie wirklich so gestimmt ). Diese Entscheidung seitens Apple und Oracle, dass jede javabasierte App in Zukunft möglichst ihr eigenes JRE mit sich bringen soll statt sich auf ein zentrales im System verankertes JRE zu verlassen, hat in den einschlägigen Java-Mailinglisten nicht ganz ohne Proteste und Zerknirschtheit seitens einiger Java-Entwickler stattgefunden, mittlerweile hat sich die anfängliche Aufregung beruhigt, und man arrangiert sich und lebt damit.

sierkb: Dass Business und Enterprise auf Java setzen sagt Null über dessen Sicherheit aus. Es sagt etwas über die Beliebtheit in den Kreisen aus, und wie erfolgreich Java vermarktet wurde. Sicher haben Entscheider auch Sicherheitsaspekte mit berücksichtigt, aber das war sicher nicht in vielen Fällen absolut ausschlaggebend.

Tekl:

Doch. Weil da teilweise durchaus sicherheitskritische Anwendungen mit gefahren werden.

Die Beliebtheit in diesen Kreisen ist ja nicht einfach so vom Himmel gefallen, dafür gibt es ja Gründe. Gründe, die unterschiedlicher Natur und Motivation sind. Der Sicherheitsaspekt ist da nicht in jedem Einzelfall DER Hauptgrund, aber eben auch ein Grund unter vielen weiteren, den man nicht ausklammern und verneinen sollte.

Tekl:

Nicht überall funktioniert das Geschäftsmodell allein über die Vermarktung. Manche Technologien verbreiten sich und setzen sich auch durch, weil sie schlichtweg gut und überzeugend sind. Es gibt Kreise/Entscheider und Anwendungsszenarien, da wird nach anderen Kriterien entschieden und bewertet als sich von irgendeinem Marketing beeinflussen oder blenden zu lassen, da zählen noch harte Fakten und nüchternes technisches Kalkül.