Dieser Heise Kommentar zu Log4j ist einfach genial geschrieben. Er bestätigt allerdings auch meine ganze Vorbehalte zu Java. Das Teil hat mich jahrelang als Admin genervt. Ständig Updates der Runtime und damit es läuft muss man immer diese Runtime dabei haben. Der einzige Vorteil war aber tatsächlich, diese Runtime ist für alle gängigen Betriebssysteme verfügbar. Aber so richtig warm bin ich mit Java trotzdem nie geworden.
Dafür ist .NET mit C# sicherlich auch nicht besser. Es lief zumindest bis .NET Core ausschließlich auf Windows. Dafür aber recht zuverlässig und recht angenehm. Und wenn ich mir so den Heise Kommentar durchlese, war es definitiv keine schlechte Idee auf C# zu setzen. Das war und ist um einiges durchsichtiger welcher Code verwendet wird und welcher nicht.
Java ist eine Insel und sicherlich auch eine schöne. Aber als Programmiersprache könnte man das gerne mal ablösen. Rust soll auch sehr schön sein hab ich gehört. 
Schlagwort: log4shell
Tweet zu log4j
Wenn man die aktuellen Beiträge zu den Corona Leuten verfolgt gibt es immer einige Argumente, die nur nervig sind. Manche Argumente sind einfach hannebüchen. Wenn man diese nun auch auf die IT anwenden würde, sähe das in etwa so aus. 
Ich werde keinen Fix zu #log4j einspielen, solange nicht die Langzeitfolgen klar sind!
— DaRenegade (@DaRenegader) December 13, 2021
Und noch einen Link zu allen log4j Memes.
Dependency XKCD aktualisiert
Jemand im Internet hat dieses Bild vom xkcd Comic aktualisiert. Und ich finde es klasse, weil es einfach sehr gut passt.
Man merkt es aktuell ja besonders bei der log4Shell Sicherheitslücke. Darüber hab ich hier ja schon ausführlich geschrieben.Genau für solche Dinge liebt man das Internet. Bei allen Lücken gibt es immer noch jemand, welcher das Ganze mit Humor auffasst und dazu lustige Bilder publiziert.
Log4j Sicherheitslücke
Es gibt mal wieder eine Sicherheitslücke. Diesmal in der weit verbreiteten Java-Logging Bibliothek "Log4j" wie Heise berichtete.
Wenn man die Liste der Firmen anschaut, welche diese Bibliothek mutmaßlich einsetzen ist das auch leicht erschreckend. Hinzu kommt, dass Java eben auch mehr oder weniger die Hauptprogrammiersprache ist, wenn es um Geschäftsanwendungen geht. Eben weil es dazu auch schon sehr viele Bibliotheken gibt.
Dieser XKCD zum Thema Dependency bringt es wirklich gut auf den Punkt. Irgendjemand schreibt eine ziemlich gute Bibliothek und viele Programmierer nutzen diese einfach. Das ist durchaus legitim, man nennt es auch Open Source Software. Allerdings hatten wir doch schon mal mit Heartbleed Lücken in der OpenSSL Bibliothek das gleiche Szenario. Irgendjemand kümmert sich in seiner Freizeit unbezahlt um eine Bibliothek, die wiederum sehr viele große Firmen einfach kostenfrei nutzen. Vermutlich bekommt dieser Programmierer nicht mal irgendeine Form des Dankes zurück. Und dann wundern wir uns, wenn irgendwann mal eine Sicherheitslücke gefunden wird und plötzlich das ganze Internet davon betroffen ist. 
Die gesammelten Memes dazu sind jedenfalls goldig.
Dieser Tweet fasst die Situation auch nochmal gut zusammen. Besonders bemerkenswert finde ich die Tatsache, dass ausgerechnet die Minecraft Leute diesen Bug entdeckt haben. 
Das kam wirklich unerwartet. Scheinbar ist die Mod Community dort mittlerweile auch sehr gut in solchen Dingen.
"How to RCE billions of Java apps by fuzzing Minecraft" was not in my bingo card for this century.
— Alesandro Ortiz ?????? (@AlesandroOrtizR) December 12, 2021
Ich bin echt gespannt, was nun alles bei uns in der Firma davon betroffen ist und wie schnell man das Problem abstellen kann.
Update vom 13.12.2021:
Heise hat schon einen Artikel mit Lösungsvorschlägen veröffentlicht.
Golem hat natürlich auch einen Beitrag dazu veröffentlicht.