Oracle zieht die Daumenschrauben an
In einem Kommentar »Millions for Milions« lies ich meinen Frust raus, an der neuen Geschäftsstrategie von Oracle, mit immer neuen Hiobsbotschaften an Entwickler und Administratoren die ganze Java-/MySQL-Nutzerschar zu verunsichern. Mit folgendem Pamphlet stieß ich auf die Pläne ein die Java Runtime Environment kostenpflichtig anzubieten:
Let me guess: There a millions of people interested in using applets (=applets, web applications, web start applications, web services…), but these people are the same that don’t want to pay for anything („i paid for the internet“, „this is for free everywhere“, …), on the one hand. On the other there a content- and service-providers gaining millions by delivering goods or services with a technology once free. And on the third hand is a new shareholder, now billing for a former free MySQL edition for example, to the same companies. As one of the companies delivering products based on „free“ technology, front-ends based on Java, middleware or some Oracle Technology on or as appliance should be aware that now
they were warned. All this will become a new price tag, and this just because of one reason: The customer, in this case content and service-providers, need strong arguments, to think about moving to The Cloud, and – very surprisingly – Oracle delivers The Cloud, as one of only a hand full of companies. Welcome to the next level of technology wars.Denen, die wirklich Ahnung haben, wird nicht zugehört. Diejenigen, denen man eine kompetente Meinung zutraut, denen traut man in der Regel das aus ihrer Funktion oder Position heraus zu, und die allein korrumpiert. Das ist der Grund, warum Meinungsmachern nicht vertraut wird, oder Politikern, oder Werbern: Alle tun das aus ihrer Perspektive heraus oder
Im August beschwor man die Einheit, unter dem Titel »We All Are One«. Und wie bei der Deutschen Einheit vollzog sich hier lediglich die als Migration getarnte Assimilation verschiedener Portale unter dem Dach des neuen Shareholder. Oracle Technology Network „eint“ jetzt alle Entwickler, Administratoren und sonstigen Techniker.
Im Oktober gab man bekannt, wie sich Oracle die weiteren Fortschritte von Java vorstellte: 7 und 8 wurden konkret um- und Teile gerissen, und ein Zeitplan von zwei Jahren vorgegeben, innerhalb derer „das neue Java“ veröffentlicht werden solle.
Im November strich man kurzerhand InnoDB aus dem Portfolio der kostenlosen MySQL-Variante Standard, und hängte allen anderen MySQL-Varianten Preisschilder beginnend bei 2.000 US-$ um.
Kurz darauf verkündete Oracle, man wolle die Java Virtual Machine kostenpflichtig machen. Da die einschlägigen Nachrichtendienste noch im Dunkeln tappen, wage ich mal die naheliegendste Spekulation: Die Modularisierung der Java VM in der Vergangenheit bildet den Schlüssel, das grundlegende Fundament wird es weiter kostenlos geben, und Java wird ausgeführt werden können. Für das Herunterladen und Freischalten bestimmter höherwertiger Funktionen, vielleicht auch aller über den reinen Start einer Applikation oder eines Applet hinaus gehenden Funktionen wird er Anbieter, ähnlich der Signierung, Gebühren zahlen müssen.
Jetzt machen sich alle Beteiligten ihre Gedanken, darunter in einem sehr aufschlussreichen Briefwechsel «Internal Mail on future MySQL usage«.Flash, PDF und Java weiterhin in der Krise
Nicht erst als ich vor zwei Monaten diagnostizierte, Flash, Java und PDF befänden sich in ihrer midlife crisis waren mir die Symptome an den drei Technologien aufgefallen. Inzwischen mehren sich die Alternativen, das Aufbegehren der jeweiligen Entwicklergemeinde unübersehbar und der Konflikt Oracle (und nunmehr IBM) gegen den Rest der Welt beschäftigt demnächst sogar die Gerichte. Besonders erschreckend fällt dabei ins Auge, das weder Adobe noch Oracle technisch gegensteuern, vielmehr noch ihren Kurs beibehalten und die Pflege jeder Installation zum zeitaufwändigen Nervenkrieg um die Nutzer zu drohen wird. Herausragende Beispiele dessen gefällig? Gern doch.
Den Entwicklern des (30 Megabyte mächtigen) Kollos Adobe Reader dürfte es nach einer Atempause stehen, denn kaum ist ein Sicherheitsleck gestopft, reißt das Nächste auf und sorgt somit nicht nur für Schlagzeilen, sondern in dem Zeitfenster zwischen der Veröffentlichung einer Version, auf die nicht sofort eine Neue folgen kann, über das Bekanntwerden bishin zum Stopfen der Lücke steht dieses Geschenk an „das Böse“ in deren Kreisen zur freien Verwendung. Die bekannt werdenden Exploits werden schneller in den Kreisen bekannt, als der Fehler überhaupt gefunden sein dürfte. Und auch wenn er dann unmittelbar behoben würde: Bis er durch das automatische Update bei allen Nutzern ankäme geht viel Zeit und viele geöffnete, und zum Teil manipulierte Dokumente ins Land.
Akkufresser Flash
Harmloser ist das schon die Meldung, das man durch Deaktivierung des Flash-Plugin die Lebenszeit des Akku eines Apple Macbook um zwei Stunden verlängern kann, was allein auch wieder nichts Neues ist – und so auch für Windows-basierte Notebooks gelten dürfte, doch es gilt: Die Nachricht ist letztlich erst dann eine, wenn sie auch wahrgenommen wird. Und eingängiger wird sie wiederum besser wahrgenommen. Mag sein das auch die aktuelle Antipathie von Apple gegenüber Adobe hierbei eine Rolle spielt, aber wenn hierdurch allgemein bekannt würde, für wie viele sinnlos vergeudete CPU-Zyklen dies Plugin verantwortlich ist kann man das in Kauf nehmen.
Java schlägt Flash und PDF
Java laufe im Hintergrund, um sichtbare Komponenten „am Laufen zu halten“ (»Java is a technology that runs in the background to make more visible components work.«), was zumeist eine Interaktion via JavaScript (alias ehedem LiveConnect) mit dem Document Object Model (DOM) meint. Und genau dort setzen ja die Alternativen nativ an. Und das Nutzer früher nicht an Updates gedacht hätten wird als Ursache erklärt. So viel aus der Nutzerperspektive, doch entscheidend für den Entwurf weiterer Gegenmaßnahmen ist, wie zur Erkennung von Schadsoftware vorzugehen sei: »Now, think about incorporating a Java interpreter into an IPS engine? The performance impact on a network IPS could be crippling.« Nötige Java-Interpreter in der Infrastruktur – im Speziellen hier den automatischen Schutz vor Eindringlingen, dürfte deren Performance nicht gut tun, um es human auszudrücken.
Java schlägt Flash und PDF, gemessen an den Fallzahlen.
Im oben zitierten Artikel werden im übrigen Fallzahlen erwähnt und die sind im Vergleich zu möglichen Sicherheitslücken natürlich ausschlaggebender für ein Urteil um die Sicherheit einer Plattform. Wenn tausende Lücken existieren, sie aber nicht ausgenutzt werden, ist das Risiko natürlich noch immer gleich hoch, die Wahrhaftigkeit von Statistik läßt aber das Risiko irrelevant erscheinen, im Vergleich zum tatsächlich ermittelten Schaden – vergleichbar einer Versicherung, gegenüber den Schadensfällen.
Allein mit dem im Oktober veröffentlichten Update wurden 29 Sicherheitslücken geschlossen, und es sind eben noch genügend Exploits (ausnutzbareSchwachstellen) übrig, die von Produzenten so genannter Exploit-Kits vermarktet werden. Und warum? Das wiederum zählt Tim in einem Kommentar im Kontext sehr gut zusammen: Veraltete Versionen werden auf dem Zielsystem belassen und können gezielt angesprochen werden. Die halbautomatische Aktualisierung wird – bewust oder unbewust – sehr träge aktualisiert, wodurch eine veraltete Version viel zu lang als aktuell und nicht eines Update bedürftig erkannt wird. Drittanbieter, wie Oracle bspw. bei OpenOffice selbst, liefern eine lokale Laufzeitumgebung mit, die in der Regel schon veraltete ist und selbst nicht auf den neuesten Stand gebracht wird. Um nur die wichtigsten Punkte der Aufzählung anzuführen.
Fazit
14 Updates für Windows, 29 beispielsweise zeitgleich für Java: Dies zeigt die Dimension des Problems mit Flash, PDF und Java. Die zugrunde liegenden Betriebssysteme erfahren weniger Updates als einzelne Plugins, die noch zudem ad hoc von einer besuchten Website aufgerufen werden können. HTML5 und Cloud Computing sind eine Lösung dieses Problems, und sollten Oracle und Adobe nicht langsam aufwachen, werden sie Teil des Problems bleiben, anstatt zur Lösung beizutragen. Denn auch wenn Oracle inzwischen seit Jahrzehnten durch Zukäufe größer und größer wurde, mit dem neuen strategischen Partner IBM könnte man eines gemeinsam haben: Altlasten und nur eine aus der Not geborene Perspektive.
Oracle zieht die Daumenschrauben an via Twitter kommentieren