Der eine oder die andere dürfte mitbekommen haben, dass in der Java-Welt (und damit wohl oder übel auch in deiner und meiner Welt) am Wochenende der Super-GAU eingetreten ist. Wer nicht weiß, was es mit diesem Log4j bzw. Log4Shell auf sich hat, wird mit diesem Kommentar von Kris Köhntopp vielleicht nicht unbedingt schlauer, aber wenigstens gut unterhalten. Ich kann mich gar nicht entscheiden, welches Zitat ich bringen soll, denn ein Highlight jagt das nächste:

Statt also die Anwendung und ihre Konfiguration zu paketieren und dann die Pakete in Produktion zu installieren, können wir nun mit JNDI die Konfiguration vom Netz lesen. Das heißt, die eigentlichen Konfigurationsdateien, die uns sagen, was die Anwendung tut, sind... nicht mehr da. Fortschritt!

oder auch:

Dank JDNI SPI können wir also Java Classfiles von einem LDAP-Server ausliefern lassen, die angeblich ein Printer-Object generieren, wenn wir nach einem Printer fragen – dann aber stattdessen Doom installieren. Oder einen Kryptominer oder Verschlüsselungstrojaner. So geht Enterprise Security.

Bwahahaha Ich persönlich halte diese ganze unfassbare Komplexität von Java-Apps ja schon länger für einen unwartbaren Scheiß und jedes Mal, wenn ich in so ein Projekt reinkomme, wo ein Moloch an Eclipse-Maven-Ant-Gradle-hassenichgesehn aufgetürmt wurde, bekomme ich nach wenigen Minuten Stresspickel. So langsam schließe ich mich Fefes Meinung von der "Java-Ranzkackgüllescheiße" an

Heise-Kommentar zu Log4j: Es funktioniert wie spezifiziert

| Abgelegt unter Coding
The views expressed by the author are personal.