Java-Runtime

Lizenz

Oracle hat im Februar 2019 für kommerzielle Nutzer den kostenlosen Support von Java 8 eingestellt.

Der Client Launcher verwendet die letzte kostenlos verfügbare Version Java 8 Update 202.

Der Einsatz einer aktuelleren Version ist auf eigene Rechnung möglich. Dafür müssen entsprechende Lizenzen direkt bei Oracle erworben werden.

Eine abweichende Laufzeitumgebung kann konfiguriert werden.

Sicherheit

Die Sicherheits-Risiken durch den Einsatz einer veralteten Java-Runtime begründen sich durch die enge Integration der Runtime in das System. Dabei spielen insbesondere 3 Aspekte eine wesentliche Rolle:

1.) Integration der installierten Java-Runtime in den Internet-Explorer. Dadurch werden Angriffe über entsprechend präparierte Webseiten ermöglicht. Für den Einsatz von Java Web Start ist die Aktivierung dieser Integration zwingend erforderlich.

2.) Java Web Start selber stellt eine entscheidende Lücke dar, weil damit eine fast beliebige Anwendung / jnlp-Datei aus dem Internet gestartet werden kann. Code-Signierung kann das verhindern - sofern der Benutzer aufmerksam genug ist und nicht jedem Herausgeber blind vertraut.

3.) Globale Erreichbarkeit der Installierten Java-Runtime für alle Java-Programme. Das wird z.B. durch die Umgebungs-Variable java_home erreicht.

Der Client-Launcher besitzt seine eigene Java-Runtime. Diese wird in keiner Weise im System registriert. Damit weiß das System und Insbesondere die Browser nichts von dieser Runtime.

Der Start einer Anwendung erfolgt mithilfe eines eigenen Dateiformats.

Die oben genannten Sicherheits-Risiken bestehen damit nicht.