Artikel top billede

(Foto: Povl D. Rasmussen)

Oracle: Vi vil fortsat installere crapware sammen med Java

Også i fremtiden vil brugerne aktivt skulle fravælge irrelevant software under installationen af Java. Men det er der da så mange andre, der også gør, lyder svaret fra Oracle.

Computerworld News Service: Oracle har til hensigt at blive ved med inkludere, hvad kritikere beskriver som crapware og tvungen software, sammen med installationen af Java, lyder det fra en repræsentant fra selskabet i sidste uge.

Du kan læse mere om Oracles }crapware her.

Selskabets praksis med at tilbyde software fra tredjeparter under installationen af Java - inklusiv i forbindelse med nødsikkerhedsopdateringer for at rette kritiske sårbarheder - blev i sidste uge igen kritiseret for at være en vildledende teknik til at få brugerne til at installere software, de hverken ønsker eller har brug for.

Under et telefonmøde med ledere fra Java User Groups (JUG) i sidste uge, henviste Doland Smith, der er chef for Oracles OpenJDK-team, til kontraktuelle forpligtelser, der forhindrede ham i at gå i detaljer om aftalen om den inkluderede software fra tredjeparter i Javas installationsprogram.

Ingen ændringer i udsigt

Han antydede dog, at der ikke er nogen ændringer i udsigt.

"Når man befinder sig i et kommercielt forhold som det her, skal man ikke alene forholde sig til sin egen politik angående kommunikation og indregning af omsætning og alt sådan noget, men man skal samtidig overholde aftalerne i det kommercielle partnerskab," kommenterede Smith under telefonmødet.

Som det er nu, inkluderer Javas installationsprogram på Windows et tilbud om også at installere browserværktøjslinjen Ask.com.

Hvis ikke man som bruger fjerner et flueben i en boks i et vindue under installationen af Java - med et andre ord aktivt fravælger det - vil denne værktøjslinje automatisk blive downloadet og installeret, ligesom standardsøgemaskinen i ens browser ændres til Ask.com.

Det er noget, der har gjort den erfarne Windows-blogger Ed Bott harm, og fået associate professor på Harvard og ekspert i adware, onlinesvindel og privatliv på internettet Ben Edelman op af stolen.

I to indlæg, der begge er offentliggjort 22. januar, rejser Bott og Edelman en skarp kritik af Oracle for at inkludere værktøjslinjen Ask.com med Java.

Læs også:

Java-problem: Disse spørgsmål vil Oracle Danmark ikke svare på.

Oracle propper crapware ned i halsen på Java-brugere.

Oracle kryber til korset - lover bedre Java-håndtering.

Derfor er Oracles 'tilbud' vildledende

Bott fremhæver, at værktøjslinjen Ask.com ikke installeres omgående, men venter 10 minutter, efter installationen af Java er gennemført.

"Jeg har aldrig set et legitimt program med et installationsprogram gøre sådan," bemærker Bott.

Han spekulerer på, om denne adfærd er et forsøg på at skjule installationen af værktøjslinjen fra brugere med større teknisk indsigt.

Heller ikke Edelman lægger fingre imellem i sin kritik af Oracle og installationen af værktøjslinjen Ask.com, som han bedømmer som vildledende.

Hvad værre er, så blev dette tilbud inkluderet selv ved kritiske opdateringer af Java, der rettede 0-dagssårbarheder for nylig, der aktivt blev udnyttet af kriminelle, fremhæver Edelman.

"Den opdatering af Java, var der kun brug for på grund af et alvorligt sikkerhedshul i Java," påpeger han.

Bekymrende

"Det er bekymrende, at Oracle således profiterer på dette sikkerhedshul ved at udnytte en sikkerhedsopdatering som en mulighed for at manipulere brugerne til at installere unødvendig reklamesoftware."

Ved at inkludere adware med sine sikkerhedsopdateringer, lærer Oracle sine brugere at nære mistillid til selskabets egen proces til udsendelse af rettelser, argumenterer Edelman.

Det er Smith fra Oracle selvfølgelig ikke enig i.

"Det er ikke specifikt en sikkerhedsmæssig problemstilling. Det er en kommerciel problemstilling," kommenterede han under telefonmødet i sidste uge.

"Grunden til, at det forbindes med sikkerhed, er, at det dukker op, når vi udsender nye installationsprogrammer på Windows-platformen. Det er faktisk ikke direkte forbundet med sikkerhed."

Smith forsvarede også Oracles praksis ved at påpege, at selskabet arvede aftalen, da det i 2010 opkøbte Sun Microsystems, der udviklede Java.

"Dette er ikke en ny forretningsaftale, dette er ikke noget, Oracle startede," lød forklaringen fra Smith. "Dette er en forretningsaftale, Sun indgik for længe siden."

Sun inkluderede tredjepartssoftware med Java i hvert fald siden 2005, da virksomheden begyndte at tilbyde Googles værktøjslinje.

I årene efter havde Sun lignende aftaler med henholdsvis Microsoft og Yahoo, før det blev Ask.coms tur.

Smith forsøgte dog tilsyneladende at gyde olie på vandene i samtalen med ledere fra JUG-fælleskabet.

"Det er noget, vi er opmærksomme på og konstant evaluerer, om det er værd at gøre," sagde han.

"Jeg kan forsikre, at vi hører jer højt og tydeligt. Vi er opmærksomme på bekymringerne og vi undersøger, hvad vi kan gøre fremover."

Vil ikke komme med en forklaring

Han afviste dog at give en forklaring på værktøjslinjen Ask.coms mærkværdige installationsadfærd, selvom han medgav en deltager på telefonmødet, at denne adfærd var "højst usædvanlig."

"Jeg er enig i, at det på overfladen kan virke underligt, hvorfor det er sådan," sagde Smith.

"Måske vil vi aldrig kunne give et tilfredsstillende svar. Men jeg håber, at vi på et tidspunkt kan forklare, hvad der sker og hvorfor."

Ask.com har ikke umiddelbart svaret på en henvendelse om at kommentere på værktøjslinjens installationsproces og på status for aftalen med Oracle.

Læs også:

Java-problem: Disse spørgsmål vil Oracle Danmark ikke svare på.

Oracle propper crapware ned i halsen på Java-brugere.

Oracle kryber til korset - lover bedre Java-håndtering.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere