15Sep
ג 'אווה היה אחראי על 91 אחוזים מכלל הפשרות המחשב בשנת 2013. רוב האנשים לא רק את התוספת דפדפן Java התכונה מופעלת - הם משתמשים גרסה מעודכנת, פגיע.היי, Oracle - הגיע הזמן להשבית את הפלאגין כברירת מחדל.
אורקל יודע המצב הוא אסון.הם ויתרו על ארגז חול האבטחה של ג'אווה, שנועד במקור להגן עליך מפני יישומוני Java זדוניים.יישומוני Java באינטרנט מקבלים גישה מלאה למערכת עם הגדרות ברירת המחדל.
דפדפן Java התוספת היא אסון מלא
המגנים של ג 'אווה נוטים להתלונן בכל פעם אתרים כמו שלנו לכתוב כי ג' אווה היא מאוד לא מאובטח."זה רק דפדפן התוספת", הם אומרים - בהכרה כמה שבור זה.אבל זה לא בטוח דפדפן התוספת מופעלת כברירת מחדל בכל התקנה אחת של ג 'אווה שם בחוץ.הנתונים מדברים בעד עצמם.גם כאן ב- How-To Geek, 95 אחוזים של המבקרים שאינם ניידים שלנו יש את התוספת Java מופעלת.ואנחנו אתר שממשיך לספר לקוראים שלנו להסיר את Java או לפחות לבטל את התוספת.
אינטרנט רחב, מחקרים מראים כי רוב המחשבים עם Java מותקן יש out-of-date Java דפדפן התוספת זמין עבור אתרי אינטרנט זדוניים כדי להרוס.ב -2013, מחקר שערך Webense Security Labs הראה כי 80 אחוזים מהמחשבים לא היו מעודכנים, גרסאות חשופות של Java.אפילו מחקרים צדקה ביותר מפחידים - הם נוטים לטעון כי יותר מ -50 אחוזים של יישומי ג'אווה הם מיושנים.
בשנת 2014, דו"ח האבטחה השנתי של סיסקו אמר 91 אחוזים מכלל ההתקפות בשנת 2013 היו נגד ג 'אווה.אורקל אפילו מנסה לנצל את הבעיה על ידי bundling את סרגל הכלים שאל נורא ו junkware אחרים עם עדכוני ג 'אווה - להישאר classy, אורקל.
אורקל ג 'אווה על סנדבוקסינג של ג' אווה Plug-in
תוסף Java פועל תוכנית Java - או "יישומון Java" - מוטבע על דף אינטרנט, בדומה איך Adobe Flash עובד.מכיוון ש- Java היא שפה מורכבת המשמשת לכל דבר, החל ביישומי שולחן עבודה ועד תוכנות שרת, הפלאגין תוכנן במקור להפעלת תוכניות Java אלה בארגז חול מאובטח.זה ימנע מהם לעשות דברים מגעילים למערכת שלך, גם אם הם ניסו.
זוהי התיאוריה, בכל מקרה.בפועל, יש זרם בלתי נגמר של פגיעויות שמאפשרות ליישומוני Java להימלט מארגז החול ולרוץ על המסך.
אורקל מבינה את ארגז החול הוא עכשיו שבור בעצם, כך ארגז החול הוא עכשיו מת בעצם.הם ויתרו על זה.כברירת מחדל, Java לא תפעיל עוד יישומונים "לא חתומים".הפעלת יישומונים לא חתומים לא אמורה להיות בעיה אם ארגז חול האבטחה היה אמין - לכן זה בדרך כלל לא בעיה להפעיל כל תוכן Adobe Flash שתמצא באינטרנט.גם אם יש פגיעות ב- Flash, הם קבועים Adobe לא לוותר על sandboxing של Flash.
כברירת מחדל, Java תטען רק יישומונים חתומים.זה נשמע בסדר, כמו שיפור ביטחוני טוב.עם זאת, יש כאן תוצאה רצינית.כאשר יישומון Java חתום, הוא נחשב "מהימן" והוא אינו משתמש בארגז החול.כמו הודעת האזהרה של ג 'אווה מנסח זאת:
"יישום זה יפעל עם גישה בלתי מוגבלת אשר עלול לשים את המחשב ואת המידע האישי שלך בסיכון."
אפילו אורקל של ג' אווה עצמו לבדוק יישומון יישומון - יישומון קטן פשוט המפעיל את Java כדי לבדוק את הגירסה המותקנת שלך ואתאומר לך אם אתה צריך לעדכן - דורש גישה זו מערכת מלאה.זה לגמרי מטורף.
במילים אחרות, ג 'אווה באמת ויתרה על ארגז חול.כברירת מחדל, לא ניתן להפעיל יישומון Java או להפעיל אותו עם גישה מלאה למערכת.אין שום אפשרות להשתמש בארגז החול, אלא אם כן אתה משנה את הגדרות האבטחה של Java.ארגז החול הוא כל כך לא אמין, כי כל פיסת קוד ג 'אווה אתה נתקל באינטרנט צריך גישה מלאה למערכת שלך.אתה יכול גם פשוט להוריד תוכנית ג 'אווה ולהפעיל אותו במקום להסתמך על הדפדפן התוספת, אשר אינו מציע אבטחה נוספת שזה תוכנן במקור לספק.
בתור אחד מפתחים Java הסביר: "אורקל הוא בכוונה להרוג את ג 'אווה אבטחה ארגז חול תחת העמדת פנים של שיפור האבטחה."
דפדפני אינטרנט משביתה זה בעצמם
תודה, דפדפני אינטרנט הם צעד כדי לתקן את חוסר המעש של אורקל.גם אם הפלאגין של דפדפן Java מותקן ומופעל, Chrome ו- Firefox לא יטענו תוכן Java כברירת מחדל.הם משתמשים "לחץ להפעלה" עבור תוכן Java.
Internet Explorer עדיין טוען תוכן Java באופן אוטומטי.Internet Explorer השתפר במידת מה - זה סוף סוף התחיל לחסום מחוץ לפגישה, פקדי ActiveX פגיעים יחד עם "Windows 8.1 אוגוסט עדכון"( aka Windows 8.1 Update 2) באוגוסט, 2014. Chrome ו- Firefox כבר עושה את זה הרבה יותר זמן.Internet Explorer נמצא מאחורי דפדפנים אחרים כאן - שוב.
כיצד לבטל את התוספת Java
כל מי שצריך Java מותקן צריך לפחות לבטל את התוספת של לוח הבקרה של ג 'אווה.עם גירסאות אחרונות של Java, באפשרותך להקיש על מקש Windows פעם אחת כדי לפתוח את תפריט התחל או מסך התחל, הקלד "Java" ולאחר מכן לחץ על קיצור הדרך "הגדר Java".בכרטיסייה אבטחה, בטל את הסימון באפשרות "אפשר תוכן Java בדפדפן".
גם לאחר השבתת הפלאגין, Minecraft וכל יישום שולחן עבודה אחר שתלוי ב- Java יפעל בסדר גמור.פעולה זו תחסום רק את יישומוני Java המשולבים בדפי אינטרנט.
כן, יישומוני Java עדיין קיימים בטבע.אתה כנראה למצוא אותם בתדירות הגבוהה ביותר על אתרים פנימיים שבהם יש לחברה יש יישום עתיק שנכתב כמו יישומון Java.אבל יישומוני Java הם טכנולוגיה מתה והם נעלמים מהאינטרנט הצרכני.הם היו אמורים להתחרות בפלאש, אבל הם הפסידו.גם אם אתה צריך Java, אתה כנראה לא צריך את התוספת.
מדי פעם החברה או המשתמש כי צריך את הדפדפן Java התוספת צריך להיכנס לוח הבקרה של ג 'אווה ולבחור להפעיל אותו.הפלאגין צריך להיחשב כאפשרות תאימות מדור קודם.