15Sep
Java var ansvarlig for 91 procent af alle computer kompromiser i 2013. De fleste mennesker har ikke bare Java-browser plug-in aktiveret - de bruger en utdateret, sårbar version. Hej, Oracle - det er på tide at deaktivere denne plugin som standard.
Oracle ved, at situationen er en katastrofe. De har givet op på Java-plugins sikkerhedssandkasse, der oprindeligt var designet til at beskytte dig mod ondsindede Java-applets. Java-applets på internettet får fuldstændig adgang til dit system med standardindstillingerne.
Java Browser Plug-in er en komplet katastrofe
Forsvarere af Java har tendens til at klage, når websteder som vores skriver, at Java er ekstremt usikkert."Det er bare browser plug-in," siger de - anerkender, hvor brudt det er. Men den usikre browser plug-in er aktiveret som standard i hver enkelt installation af Java derude. Statistikkerne taler for sig selv. Selv her på How-To Geek har 95 procent af vores ikke-mobile besøgende aktiveret Java-plugin-modulet. Og vi er en hjemmeside, der fortæller vores læsere at afinstallere Java eller i det mindste deaktivere plugin'en.
Internet-undersøgelser viser fortsat, at størstedelen af computere med Java-installeret har en forældet Java-browser plug-in til rådighed for ondsindede websteder til at hærge. I 2013 viste en undersøgelse fra Websense Security Labs, at 80 procent af computere havde forældede, sårbare versioner af Java. Selv de mest velgørende studier er skræmmende - de har tendens til at hævde, at mere end 50 procent af Java plug-ins er forældede.
I 2014 sagde Ciscos årlige sikkerhedsrapport, at 91 procent af alle angreb i 2013 var imod Java. Oracle forsøger endda at udnytte dette problem ved at kombinere den forfærdelige Ask Toolbar og anden junkware med Java-opdateringer - hold dig klassisk, Oracle.
Oracle Gav op på Java Plug-in Sandboxing
Java plug-in kører et Java-program - eller "Java-applet" - integreret på en webside, ligner hvordan Adobe Flash fungerer. Da Java er et komplekst sprog, der bruges til alt fra desktopprogrammer til serverprogrammer, blev pluginprogrammet oprindeligt designet til at køre disse Java-programmer i en sikker sandkasse. Dette ville forhindre dem i at gøre grimme ting til dit system, selvom de forsøgte.
Det er alligevel teorien. I praksis er der en tilsyneladende uendelig strøm af sårbarheder, der gør det muligt for Java-applets at undslippe sandkassen og køre roughshod over dit system.
Oracle indser sandkassen er nu stort set brudt, så sandkassen er nu dybest set død. De har givet op på det. Som standard vil Java ikke længere køre "usignerede" applets. Kørsel af usignerede applets bør ikke være et problem, hvis sikkerhedssandkassen var troværdig - derfor er det generelt ikke et problem at køre ethvert Adobe Flash-indhold, du finder på internettet. Selvom der er sårbarheder i Flash, er de rettede, og Adobe giver ikke op på Flashs sandboxing.
Som standard indlæser Java kun underskrevne applets. Det lyder fint, som en god sikkerhedsforbedring. Der er dog en alvorlig konsekvens her. Når en Java-applet er underskrevet, betragtes den som "betroet", og den bruger ikke sandkassen. Som Java's advarselsmeddelelse sætter det:
"Denne applikation vil køre med ubegrænset adgang, som kan sætte din computer og personlige oplysninger i fare."
Selv Oracle's egen Java-versionskontrolapplet - en simpel lille applet, der kører Java for at tjekke din installerede version ogfortæller dig, om du skal opdatere - kræver denne fuld systemadgang. Det er helt sindssygt.
Med andre ord har Java virkelig givet op på sandkassen. Som standard kan du heller ikke køre en Java-applet eller køre den med fuld adgang til dit system. Der er ingen måde at bruge sandkassen på, medmindre du tilpasser Java's sikkerhedsindstillinger. Sandkassen er så utroværdig, at hver bit af Java-kode, du møder online, har fuld adgang til dit system. Du kan lige så godt downloade et Java-program og køre det i stedet for at stole på browser plug-in, som ikke giver den ekstra sikkerhed, det oprindeligt var designet til at levere.
Som en Java-udvikler forklarede: "Oracle forsætligt dræber Java's sikkerhedssandkasse under forudsætning af at forbedre sikkerheden."
Webbrowsere deaktiverer det på deres eget
Heldigvis går browsere ind for at rette op på Oracle's passivitet. Selvom du har plug-in til Java-browser installeret og aktiveret, vil Chrome og Firefox ikke indlæse Java-indhold som standard. De bruger "click-to-play" til Java-indhold.
Internet Explorer indlæser stadig Java-indhold automatisk. Internet Explorer er forbedret noget - det begyndte endelig at blokere forældede, sårbare ActiveX-kontroller sammen med "Windows 8.1 August Update"( også Windows 8.1 Update 2) i august 2014. Chrome og Firefox har gjort dette meget længere. Internet Explorer ligger bag andre browsere her - igen.
Sådan deaktiveres Java-plug-in
Alle, der har brug for Java installeret, skal i det mindste deaktivere plug-in'en fra java-kontrolpanelet. Med nyere versioner af Java kan du trykke på Windows-tasten en gang for at åbne menuen Start eller Start, skrive "Java" og derefter klikke på "Konfigurer Java" genvej. På fanen Sikkerhed fjerner du afkrydsningsfeltet "Aktiver Java-indhold i browseren".
Selv efter at du har deaktiveret plug-in'en, vil Minecraft og ethvert andet desktopprogram, der afhænger af Java, køre helt fint. Dette vil kun blokere Java-applets indlejret på websider.
Ja, Java-applets eksisterer stadig i naturen. Du vil nok finde dem hyppigst på interne websteder, hvor nogle virksomheder har en gammel ansøgning skrevet som en Java-applet. Men Java-applets er en død teknologi, og de forsvinder fra forbrugerweben. De skulle konkurrere med Flash, men de tabte. Selvom du har brug for Java, behøver du sandsynligvis ikke plug-in.
Den lejlighedsvise virksomhed eller bruger, der har brug for plug-in til Java-browseren, skal gå til Javas kontrolpanel og vælge at aktivere det. Plug-in skal betragtes som en arvelig kompatibilitetsmulighed.