15Sep
Java war 2013 für 91 Prozent aller Computerkompromisse verantwortlich. Die meisten Leute haben nicht nur das Java-Browser-Plug-in aktiviert - sie verwenden eine veraltete, anfällige Version. Hey, Oracle - es ist Zeit, dieses Plug-in standardmäßig zu deaktivieren.
Oracle weiß, dass die Situation eine Katastrophe ist. Sie haben die Sicherheits-Sandbox des Java-Plug-ins aufgegeben, die ursprünglich dazu diente, Sie vor schädlichen Java-Applets zu schützen. Java-Applets im Internet erhalten mit den Standardeinstellungen vollständigen Zugriff auf Ihr System.
Das Java-Browser-Plug-in ist ein komplettes Disaster
Java-Defender tendieren dazu, sich zu beschweren, wenn Websites wie unseres schreiben, dass Java extrem unsicher ist."Das ist nur das Browser-Plug-in", sagen sie - und erkennen an, wie kaputt es ist. Aber dieses unsichere Browser-Plug-in ist standardmäßig in jeder einzelnen Java-Installation aktiviert. Die Statistik spricht für sich. Selbst bei How-To Geek haben 95 Prozent unserer nicht-mobilen Besucher das Java-Plug-in aktiviert. Und wir sind eine Website, die unseren Lesern ständig erklärt, Java zu deinstallieren oder zumindest das Plug-in zu deaktivieren.
Internetweite Studien zeigen, dass auf den meisten Computern mit installiertem Java ein veraltetes Java-Browser-Plug-in verfügbar ist, mit dem schädliche Websites manipuliert werden können. Im Jahr 2013 zeigte eine Studie der Websense Security Labs, dass 80 Prozent der Computer veraltete, anfällige Java-Versionen aufwiesen. Selbst die am meisten karitativen Studien sind beängstigend - sie behaupten, dass mehr als 50 Prozent der Java-Plug-Ins veraltet sind.
Laut dem jährlichen Sicherheitsbericht von Cisco im Jahr 2014 waren 91 Prozent aller Angriffe im Jahr 2013 gegen Java. Oracle versucht sogar, dieses Problem auszunutzen, indem es die schreckliche Ask Toolbar und andere Junkware mit Java-Updates bündelt - bleiben Sie edel, Oracle.
Oracle auf dem Sandboxing des Java-Plug-ins
Das Java-Plug-in führt ein Java-Programm - oder "Java-Applet" - aus, das ähnlich wie Adobe Flash auf einer Webseite eingebettet ist. Da Java eine komplexe Sprache ist, die von Desktop-Anwendungen bis hin zu Serversoftware verwendet wird, wurde das Plug-in ursprünglich für die Ausführung dieser Java-Programme in einer sicheren Sandbox entwickelt. Dies würde verhindern, dass sie böse Dinge an Ihrem System tun, selbst wenn sie es versuchten.
Das ist sowieso die Theorie. In der Praxis gibt es einen scheinbar endlosen Strom von Sicherheitslücken, die es Java-Applets ermöglichen, aus der Sandbox auszubrechen und über Ihr System hinweg zu agieren.
Oracle erkennt, dass die Sandbox jetzt grundsätzlich kaputt ist, also ist die Sandbox im Grunde genommen tot. Sie haben es aufgegeben. Standardmäßig führt Java keine "unsignierten" Applets mehr aus. Das Ausführen nicht signierter Applets sollte kein Problem darstellen, wenn die Sicherheits-Sandbox vertrauenswürdig ist. Aus diesem Grund ist es im Allgemeinen kein Problem, Adobe Flash-Inhalte im Internet zu verwenden. Auch wenn es in Flash Schwachstellen gibt, sind sie behoben und Adobe gibt das Flash-Sandboxing nicht auf.
Standardmäßig lädt Java nur signierte Applets. Das klingt gut, wie eine gute Sicherheitsverbesserung. Es gibt jedoch eine ernsthafte Konsequenz hier. Wenn ein Java-Applet signiert ist, gilt es als "vertrauenswürdig" und es verwendet nicht die Sandbox. Wie die Warnung von Java es ausdrückt:
"Diese Anwendung läuft mit uneingeschränktem Zugriff, der Ihren Computer und Ihre persönlichen Daten gefährden kann."
Sogar das Java-Applet für die Überprüfung von Java-Versionen - ein kleines Applet, das Java zur Überprüfung Ihrer installierten Version ausführtinformiert Sie, wenn Sie aktualisieren müssen - erfordert diesen vollständigen Systemzugriff. Das ist völlig verrückt.
Mit anderen Worten, Java hat die Sandbox wirklich aufgegeben. Standardmäßig können Sie entweder kein Java-Applet ausführen oder es mit vollem Zugriff auf Ihr System ausführen. Es gibt keine Möglichkeit, die Sandbox zu verwenden, es sei denn, Sie optimieren die Java-Sicherheitseinstellungen. Die Sandbox ist so unzuverlässig, dass jeder Java-Code, den Sie online finden, vollen Zugriff auf Ihr System benötigt. Sie können auch einfach ein Java-Programm herunterladen und es ausführen, anstatt sich auf das Browser-Plug-in zu verlassen, das nicht die zusätzliche Sicherheit bietet, für die es ursprünglich vorgesehen war.
Wie ein Java-Entwickler erklärte: "Oracle tötet absichtlich die Java-Sicherheits-Sandbox unter dem Vorwand, die Sicherheit zu verbessern."
-Webbrowser deaktivieren es auf eigene Faust
Zum Glück greifen Webbrowser ein, um die Untätigkeit von Oracle zu beheben. Selbst wenn Sie das Java-Browser-Plug-in installiert und aktiviert haben, laden Chrome und Firefox standardmäßig keine Java-Inhalte. Sie verwenden "Click-to-Play" für Java-Inhalte.
Internet Explorer lädt weiterhin Java-Inhalte automatisch. Der Internet Explorer hat sich etwas verbessert - er hat im August 2014 endlich damit begonnen, veraltete, anfällige ActiveX-Steuerelemente zusammen mit dem "Windows 8.1 August Update"( auch bekannt als Windows 8.1 Update 2) zu blockieren. Chrome und Firefox machen das schon viel länger. Der Internet Explorer ist hier wieder hinter anderen Browsern.
So deaktivieren Sie das Java-Plug-in
Jeder, der Java installiert hat, sollte das Plug-in aus der Java-Systemsteuerung zumindest deaktivieren. Bei neueren Versionen von Java können Sie einmal auf die Windows-Taste tippen, um das Startmenü oder den Startbildschirm zu öffnen, "Java" eingeben und dann auf die Verknüpfung "Java konfigurieren" klicken. Deaktivieren Sie auf der Registerkarte Sicherheit die Option "Java-Inhalt im Browser aktivieren".
Auch nachdem Sie das Plug-in deaktiviert haben, läuft Minecraft und jede andere Desktop-Anwendung, die von Java abhängig ist, problemlos. Dies blockiert nur Java-Applets, die auf Webseiten eingebettet sind.
Ja, Java-Applets sind immer noch frei verfügbar. Sie werden sie wahrscheinlich am häufigsten auf internen Websites finden, wo in einigen Unternehmen eine alte Anwendung als Java-Applet geschrieben ist. Aber Java-Applets sind eine tote Technologie und verschwinden aus dem Consumer-Web. Sie sollten mit Flash konkurrieren, aber sie verloren. Selbst wenn Sie Java benötigen, benötigen Sie das Plug-in wahrscheinlich nicht.
Das gelegentliche Unternehmen oder der Benutzer, der das Java-Browser-Plug-in benötigt, sollte in die Systemsteuerung von Java wechseln und diese aktivieren. Das Plug-in sollte als eine Legacy-Kompatibilitätsoption betrachtet werden.