15Sep
Java bylo zodpovědné za 91 procent všech počítačových kompromisů v roce 2013. Většina lidí má nejen zapnutý plug-in prohlížeče Java - používají zastaralou verzi. Ahoj, Oracle - je čas, aby jste tuto výchozí funkci deaktivovali.
Oracle ví, že situace je katastrofa. Opustili bezpečnostní karanténu Java plug-in původně navrženou tak, aby vás ochránila před nebezpečnými Java applety. Java applety na webu získají úplný přístup k vašemu systému s výchozím nastavením.
Plugin Java Browser je úplná katastrofa
Obránci Java mají tendenci si stěžovat, kdykoli weby, jako je naše, píší, že Java je extrémně nejistá."To je jen plug-in prohlížeče," říkají - uznávají, jak zlomená je. Ale tento nezabezpečený plug-in prohlížeče je ve výchozím nastavení povolen v každé jednotlivé instalaci Java. Statistika mluví sama za sebe. Dokonce i tady v systému How-To Geek má 95% našich nepublikovaných návštěvníků zapnuto plug-in Java. A my jsme webová stránka, která stále informuje naše čtenáře o odinstalaci Java nebo alespoň o vypnutí plug-inu.
Studie na internetu po celém světě ukazují, že většina počítačů s nainstalovanou Java má k dispozici zlutý prohlížeč Java plug-in dostupný pro škodlivé webové servery. V roce 2013 studie společnosti Websense Security Labs ukázala, že 80 procent počítačů mělo zastaralé, zranitelné verze Java. Dokonce i nejcharakterističtější studie jsou děsivé - mají tendenci tvrdit, že více než 50 procent Java plug-inů je zastaralých.
V roce 2014 výroční bezpečnostní zpráva společnosti Cisco uvedla, že 91% všech útoků v roce 2013 bylo proti Java. Oracle se dokonce pokouší využít tohoto problému tím, že spojuje strašlivou Ask Toolbar a další junkware s aktualizací Java - zůstává klasický, Oracle.
Oracle Gave Up na pískovacím modulu Java Plug-in
Zásuvný modul Java spouští Java program - nebo "applet Java" - vložený na webovou stránku, podobně jako Adobe Flash. Protože Java je složitý jazyk používaný pro vše od desktopových aplikací až po serverový software, byl plug-in původně navržen tak, aby spustil tyto programy Java v zabezpečeném karanténě.Tím byste jim zabránili v tom, že by vám váš systém mohli dělat nepříjemné věci, i kdyby se o to pokusili.
To je teorie, stejně.V praxi existuje zdánlivě nekonečný proud zranitelných míst, které umožňují Java appletům uniknout z pískovce a spustit hrubý dopad na váš systém.
Oracle si uvědomuje, že pískoviště je nyní v podstatě zlomené, takže pískoviště je nyní v podstatě mrtvé.Opustili to. Ve výchozím nastavení již Java nebude spouštět "nepodepsané" applety. Spouštění nepodepsaných appletů by nemělo být problémem, kdyby karta zabezpečení byla důvěryhodná - proto není obecně problém spouštět obsah Adobe Flash, který najdete na webu. Dokonce i v případě, že jsou ve službě Flash chyby zabezpečení, jsou opraveny a společnost Adobe se nevzdává sandboxu Flash.
Ve výchozím nastavení aplikace Java načte pouze podepsané applety. To zní dobře, jako dobré zlepšení zabezpečení.Zde je však vážný důsledek. Když je applet Java podepsán, považuje se za "důvěryhodný" a nepoužívá karanténu. Jak to vysvětluje varovná zpráva Java:
"Tato aplikace bude spuštěna s neomezeným přístupem, který může ohrozit váš počítač a osobní informace."
Dokonce i samotná aplikace Oracle pro kontrolu verzí Java - jednoduchý malý applet, který spouští Java a kontroluje nainstalovanou verzi.vám řekne, zda potřebujete aktualizovat - vyžaduje tento úplný přístup k systému. To je úplně šílené.
Jinými slovy, Java skutečně opustil pískoviště.Ve výchozím nastavení nelze spustit applet Java nebo jej spustit s plným přístupem k systému. Neexistuje žádný způsob, jak používat pískoviště, pokud nestíháte nastavení zabezpečení Java. Sandbox je tak nedůvěryhodný, že každý bit Java kódu, který narazíte online, potřebuje plný přístup do vašeho systému. Můžete také stahovat program Java a spustit jej spíše než spoléhat se na plug-in prohlížeče, který nenabízí dodatečné zabezpečení, které bylo původně navrženo poskytovat.
Jak jeden vývojář Java vysvětlil: "Oracle záměrně zabíjí bezpečnostní karanténu Java pod záminkou zlepšení bezpečnosti."
Webové prohlížeče tuto funkci zakazují
Webové prohlížeče naštěstí nastupují, aby opravili nečinnost společnosti Oracle. I když máte nainstalovaný a povolený plug-in prohlížeče Java, Chrome a Firefox nebudou ve výchozím nastavení načítat obsah Java. Pro obsah Java používají funkci "click-to-play".
Internet Explorer stále automaticky načítá obsah Java. Internet Explorer se poněkud zlepšil - v srpnu 2014 začal blokovat zastaralé a zranitelné ovládací prvky ActiveX společně s "Windows 8.1 August Update"( podobně jako Windows 8.1 Update 2). Chrome a Firefox to dělají mnohem déle. Aplikace Internet Explorer je za ostatními prohlížeči - opět.
Jak zakázat plug-in Java
Každý, kdo potřebuje nainstalovanou Javu, by měl alespoň vypnout plug-in z ovládacího panelu java. S nejnovějšími verzemi Java můžete klepnutím na tlačítko Windows jednou otevřít nabídku Start nebo Start, zadejte "Java" a potom klepněte na zástupce "Konfigurovat Java".Na kartě Zabezpečení zrušte zaškrtnutí volby Povolit obsah Java v prohlížeči.
Dokonce i poté, co zakážete plug-in, bude Minecraft a jakákoli jiná desktopová aplikace, která závisí na jazyce Java, fungovat správně.Toto blokuje pouze Java applety vložené na webových stránkách.
Ano, Java applety stále existují ve volné přírodě.Pravděpodobně je najdete nejčastěji na interních stránkách, kde má nějaká firma starou aplikaci napsanou jako applet Java. Ale Java applety jsou mrtvou technologií a mizí ze spotřebitelského webu. Oni měli soutěžit s Flashem, ale ztratili. Dokonce i když potřebujete Java, pravděpodobně nepotřebujete plug-in.
Příležitostná firma nebo uživatel, který potřebuje plug-in prohlížeče Java, musí jít do Ovládacího panelu Java a zvolit jej. Plug-in by měl být považován za starší možnost kompatibility.