JRE Ablaufdatum seit 7u10 - Probleme bei selbst ausgelieferter JRE bekannt?

[rilla]

Guten Morgen,

da der Threat http://www.java-forum.org/allgemeine-java-themen/156635-jar-eigener-jre-ausliefern.html?#post1001197 sehr aktuell ist, habe ich mich gleich mal entschlossen anzumelden und darauf aufzubauen

Ich suche schon eine Weile bei Google und habe auch bei der Forensuche nichts zu dem Ablaufdatum gefunden.

Es geht darum, dass ich ein jre (kopierter Ordner) mit ausliefere und diese Java-Version verwende.

Mit jeder neueren JRE versucht Oracle die Sicherheitsschrauben anzuziehen.

So kommen in Fall 1 bei zusätzlich installierter neuester JRE (aktuell u51) trotz static und kopierter Version Meldungen, dass eine nicht aktuelle Java Version versucht zu starten. Eine Sache.

Ist aber, und hierum geht es mir als Fall 2, gar keine weitere Version intalliert, funktioniert (noch) alles gut.

Nun mache ich mir Sorgen, da Oracle seit Version 7u10 wohl ein Ablaufdatum eingebaut hat.
Demnach würde auch eine vom Internet getrennte JRE auslaufen. Erst würden Update Meldungen kommen, dann würde sie das Ausführen jeglicher .jar-Dateien verhindern. Habe ich diesen Prozeß durch das kopieren einer STATIC Installation ausgehebelt?

Von der Oracle Homepage:

In JDK 7 Update 10, Oracle introduced a security slider configuration option, and provided for automatic security expiration of older Java versions (to make sure that users run the most recent versions of Java with a more restricted trust model than in older versions).

Habt ihr auch davon gehört? Gibts Lösungsansätze dazu?
Oracle empfielt natürlich einen Service Vertrag mit Lizenzkäufen. Man würde dann eine Version verwenden können, die davon nicht betroffen ist.

Aus einem Ticket:

(2) There is a Java SE software that does not require to auto-update
itself. The AutoUpdate feature is only enabled with the consumer-
edition of Java SE (free download). There is also a enterprise
edition of Java SE, which does not try to auto-update itself.
This software is not free of charge, but the license is contained
in a Java SE service contract.
As a contract customer of Java SE solution-provider you would be
entitled to deliver Java SE 7u25 to your customers. This software
would then stay on the boxes and will not try to auto-update itself.
It will then be used unless a newer Java SE 7 software is installed.

Ich freue mich über jede Erfahrung und Hilfe
lG Carina

 

[turtle]

Auch von Oracle-Website

As of the JDK 7u10 release, a user may control, via the Java Control Panel, the level of security that will be used when running Java apps in a browser.

Es geht also um Applets im Browser.

 

[rilla]

Hi Turtle,

kann damit zusammenhängen, das die Anwendung über den Webstart läuft. Die Sicherheit kann man noch anpassen, in Zukunft wird dies wohl auch eingeschränkt.

Wichtig ist mir eigentlich nur, dass der Client keine Ausführung blockt. Bei jeder Version steht nun ein Ablaufdatum dabei. Was genau dann passiert wäre wichtig zu wissen, bevor das Kind in den Brunnen fällt.
Vielleicht hatte jemand schon den Fall.
lG Carina

 

[rilla]

Falls es jemanden interessiert, hier meine Testergebnisse.

Getestete Version: jre u25 Abgelaufen laut Oracle seit November 2013

1. Test mit einem kopierten Ordner: keine Probleme
2. Test mit Installation in gleiches Verzeichnis: Die Anwendung wird blockiert mit der Meldung: Ihre Sicherheitseinstellungen haben die Ausführung einer selbstsignierten Anwendung mit einer unsicheren oder abgelaufenen JRE blockiert.

Setzt man die Sicherheit auf Mittel (nur zum Test), kann man wenigstens die Anwendung ausführen nach der Warung des selbstsignierten Zertifikats.

Auswirkungen hat die Neuerung also vermutlich nur auf installierte Versionen. Über weitere Erfahrungen dazu freue ich mich natürlich.
lG Carina