Несколько часов назад в популярной библиотеке Java log4j был обнаружен эксплойт нулевого дня, который приводит к удаленному выполнению кода (RCE) путем записи в журнал определенной строки. https://goo.su/Qs8

Как обнаружить уязвимость Log4j в ваших приложениях
Ошибка в широко распространенной библиотеке Log4j может позволить злоумышленнику выполнить произвольный код в любой системе, которая использует Log4j для записи журналов. А твое? https://shly.link/jv7fr

Cybereason разработал и выпустили «вакцину» от уязвимости Apache Log4Shell https://shly.link/ghVs7

Массовая уязвимость Java в Log4j: что это такое и как ее исправить? Уязвимость Log4J, обнаруженная 11 декабря с помощью POC, является одной из самых больших уязвимостей, которые мы обнаружили. Это затронет десятки тысяч корпоративных веб-сайтов, работающих на Java. Пройдемся, что случилось и как исправить? https://goo.su/xNp

​Чашечка Java — Telegram-канал c материалами по Java со всего интернета. А значит и на русском языке, и на английском.

Обновления в версиях языка, инструменты, структуры данных, сложные конструкции языка, связанные с Java технологии и фреймворки – обо всём этом читайте в канале: @a_cup_of_java

Строковые объекты в Java Характеристика строк Java как неизменяемых объектов вводит интересные свойства, которые подробно исследуются в этом руководстве по программированию на Java. https://shly.link/3KB7Z

Ответ GitHub на уязвимость Log4j CVE-2021-44228 В четверг, 9 декабря 2021 г., GitHub стало известно об уязвимости в системе ведения журналов Log4j, CVE-2021-44228 . Мы немедленно начали процесс реагирования на инциденты, чтобы определить, как мы используем эту структуру и ее влияние на GitHub, наши продукты и нашу инфраструктуру. Чтобы помочь сообществу определить, как они используют уязвимую библиотеку Log4j, мы также выпустили рекомендации по безопасности GitHub и предупреждения Dependabot, содержащие общие сведения об уязвимостях. https://shly.link/C32Fc

Веб-сканер Java: подход на основе веб-браузера В этой статье мы рассмотрим подход к сбору данных с использованием возможностей веб-браузера. В частности, мы соберем все ссылки на указанном сайте и проверим, есть ли среди них неработающие, то есть ссылки, ведущие на недоступные по какой-либо причине страницы. Мы сделаем это, используя возможности браузера Chromium через библиотеку JxBrowser .
JxBrowser - это коммерческая библиотека Java, которая позволяет использовать возможности Chromium в коммерческих приложениях Java. Это полезно для компаний, которые разрабатывают и продают программные решения, созданные с использованием технологии Java, или нуждаются в усовершенствованном и надежном компоненте веб-браузера для приложений Java, созданных для внутренних нужд. https://goo.su/EaX

Пять антипаттернов с секретами на Java В этом посте я опишу пять распространенных проблем, которые вы можете рассматривать как антипаттерны (противоположность передовой практики ), и предложу варианты, которые помогут вам избежать этих проблем. https://goo.su/9mrS

Java Media Player: подход на основе веб-браузера Если вам нужно встроить медиаплеер в ваше настольное приложение Java, для этого есть несколько вариантов:

Вы можете использовать JavaFX Media API для реализации всех необходимых функций медиаплеера, как показано в этом примере .
Немного устаревшая, но все еще работающая Java Media Framework может быть решением.
Вы можете интегрировать стороннюю библиотеку Java, такую ​​как VLCJ, которая включает в себя функции встроенного медиаплеера.
У каждого из них есть свои плюсы и минусы:

Подход JavaFX Media API является кроссплатформенным и может использоваться в Windows, Linux и macOS. Он хорошо работает с JavaFX. Однако, если вы используете Swing или SWT, вам потребуются мосты, такие как JFXPanel и FXCanvas .

Обертка функциональности собственного медиаплеера требует отдельной сборки для каждой платформы, поскольку проигрыватель может просто не поддерживать все требуемые платформы. Например, VLCJ не поддерживает Linux. Более того, вам может потребоваться установить на целевой платформе недостающие видео- и аудиокодеки для воспроизведения различных медиаформатов. https://goo.su/yjV

Перенос приложения Spring Boot на Java 17 - сложный путь Мы собираемся обновить существующее приложение Spring Boot, пока мы не сможем разработать новый код с использованием Java 17. https://goo.su/9Kai

Памятка по исправлению Log4Shell К настоящему времени мы все слышали об уязвимости Log4Shell . В этой памятке по исправлению Log4Shell обобщены основные исправления и рекомендации , используемые для ограничения подверженности уязвимости и снижения риска использования этой уязвимости в производственных системах. https://shly.link/W8cTJ

Quarkus не подвержен уязвимости Log4J. Как многие из вас слышали, сообщество Java потрясено широко распространенной уязвимостью в библиотеке ведения журналов Apache Log4J 2. Поскольку Quarkus, его расширения и зависимости не используют базовую библиотеку log4j версии 2, он НЕ подвержен этой уязвимости. В большинстве случаев никаких корректирующих действий для каких-либо проектов, поддерживаемых Quarkus, не требуется. Quarkus действительно предоставляет jar-файл log4j API, который сам по себе не уязвим. Это чисто уровень совместимости и трансляции, который сопоставляет вызовы с другой серверной частью журналирования (JBoss Logging). Таким образом, это не влияет на прямое использование log4j API. https://goo.su/9I6o

Пишем простого slack-бота на Java В статье я расскажу, как сделать простого бота в Slack на java и немного о других вариантах использования slack api. https://shly.link/habr8Gk

☕️Проверка подлинности сертификата клиента Java HTTPS HTTPS - это расширение HTTP, которое обеспечивает безопасную связь между двумя объектами в компьютерной сети. HTTPS использует протокол TLS (Transport Layer Security) для обеспечения безопасных соединений.

TLS может быть реализован с односторонней или двусторонней проверкой сертификата . В одностороннем порядке сервер делится своим публичным сертификатом, чтобы клиент мог убедиться, что это доверенный сервер. Альтернатива - двусторонняя проверка. И клиент, и сервер совместно используют свои общедоступные сертификаты для проверки личности друг друга .

В этой статье основное внимание уделяется двусторонней проверке сертификата, при которой сервер также проверяет сертификат клиента . https://shly.link/CNRAq ☕️Как проверить, зависит ли проект Java от уязвимой версии Log4j
Если ваше приложение использует Log4j с версии 2.0-alpha1 до 2.14.1, вам следует как можно скорее выполнить обновление до последней версии (2.16.0 на момент написания этой статьи). https://shly.link/bUT0W

Проверка JWT с помощью JWK в Java Одним из преимуществ JSON Web Token (JWT) является то, что вы можете проверить токен с помощью простой криптографической операции. Токены JWT закодированы и подписаны JSON. https://shly.link/0rxmR

Простое руководство по использованию вложенных классов в Java В этом руководстве по программированию на Java разработчики узнают, как использовать вложенные классы и другие концепции объектно-ориентированного программирования (ООП) . https://goo.su/9tGJ

Шпаргалка!

Java 8 - orElse против orElseGet В Java 8 появилось много новых возможностей, одна из них - монада Optional. Optional имеет два метода 'orElse' и 'orElseGet', они очень похожи и могут вызвать путаницу у разработчиков. В этой статье мы попытаемся понять разницу между ними. https://goo.su/9JCg