15Sep
Η Java ήταν υπεύθυνη για το 91 τοις εκατό όλων των συμβιβασμών ηλεκτρονικών υπολογιστών το 2013. Οι περισσότεροι άνθρωποι όχι μόνο διαθέτουν το plug-in προγράμματος περιήγησης Java ενεργοποιημένο - χρησιμοποιούν μια ξεπερασμένη, ευάλωτη έκδοση.Γεια σου, Oracle - ήρθε η ώρα να απενεργοποιήσετε αυτήν την προσθήκη από προεπιλογή.
Η Oracle γνωρίζει ότι η κατάσταση είναι καταστροφή.Έχουν εγκαταλείψει το sandbox ασφάλειας του Java plug-in, το οποίο σχεδιάστηκε αρχικά για να σας προστατεύσει από κακόβουλες μικροεφαρμογές Java.Οι μικροεφαρμογές Java στο διαδίκτυο έχουν πλήρη πρόσβαση στο σύστημά σας με τις προεπιλεγμένες ρυθμίσεις.
Η Java Browser Plug-in είναι μια πλήρης καταστροφή
Οι υπερασπιστές της Java τείνουν να διαμαρτύρονται όποτε τοποθεσίες όπως η δική μας γράφουν ότι η Java είναι εξαιρετικά ανασφαλής."Αυτό είναι μόνο το plug-in του προγράμματος περιήγησης," λένε - αναγνωρίζοντας πόσο σπασμένα είναι.Αλλά αυτή η ανασφαλής προσθήκη προγράμματος περιήγησης είναι ενεργοποιημένη από προεπιλογή σε κάθε εγκατάσταση της Java εκεί έξω.Οι στατιστικές μιλούν από μόνα τους.Ακόμη και εδώ στο How-To Geek, το 95 τοις εκατό των μη κινητών επισκεπτών μας έχει ενεργοποιημένη την προσθήκη Java.Και είμαστε ένας ιστοχώρος που συνεχώς λέει στους αναγνώστες μας την απεγκατάσταση της Java ή τουλάχιστον την απενεργοποίηση της προσθήκης.Οι μελέτες
στο Διαδίκτυο, συνεχίζουν να δείχνουν ότι η πλειοψηφία των υπολογιστών με Java έχει εγκατεστημένο plug-in Java που είναι παρωχημένο για κακόβουλες ιστοσελίδες για να καταστρέψει.Το 2013, μια μελέτη από τα εργαστήρια Websense Security Labs έδειξε ότι το 80% των υπολογιστών είχε ξεπερασμένες, ευάλωτες εκδόσεις της Java.Ακόμα και οι πιο φιλανθρωπικές μελέτες είναι τρομακτικές - τείνουν να ισχυρίζονται ότι περισσότερο από το 50 τοις εκατό των plug-ins της Java είναι παρωχημένες.
Το 2014, η ετήσια έκθεση ασφάλειας της Cisco ανέφερε ότι το 91% όλων των επιθέσεων το 2013 ήταν κατά της Java.Η Oracle προσπαθεί ακόμη να εκμεταλλευτεί αυτό το πρόβλημα συνδυάζοντας τη φοβερή γραμμή εργαλείων Ask και άλλα junkware με ενημερώσεις Java - παραμείνετε αριστοκρατικές, Oracle.
Oracle Gave Up στο sandboxing του Java Plug-in
Το plug-in Java εκτελεί ένα πρόγραμμα Java - ή "applet Java" - ενσωματωμένο σε μια ιστοσελίδα, παρόμοιο με το πώς λειτουργεί το Adobe Flash.Επειδή η Java είναι μια περίπλοκη γλώσσα που χρησιμοποιείται για όλα, από επιτραπέζιες εφαρμογές μέχρι λογισμικό διακομιστή, το plug-in σχεδιάστηκε αρχικά για να τρέχει αυτά τα προγράμματα Java σε ένα ασφαλές sandbox.Αυτό θα τους εμπόδιζε να κάνουν δυσάρεστα πράγματα στο σύστημά σας, ακόμα κι αν προσπάθησαν.
Αυτή είναι η θεωρία, ούτως ή άλλως.Στην πράξη, υπάρχει μια φαινομενικά ατελείωτη ροή τρωτών σημείων που επιτρέπουν στις μικροεφαρμογές Java να ξεφύγουν από το sandbox και να εκτελέσουν παραβιάσεις στο σύστημά σας.
Η Oracle συνειδητοποιεί ότι το sandbox είναι τώρα βασικά σπασμένο, οπότε το sandbox είναι τώρα βασικά νεκρό.Έχουν παραιτηθεί από αυτό.Από προεπιλογή, η Java δεν θα εκτελεί πλέον εφαρμογές "unsigned".Η εκτέλεση ανυψωμένων μικροεφαρμογών δεν θα πρέπει να αποτελεί πρόβλημα, εάν το sandbox ασφαλείας είναι αξιόπιστο - γι 'αυτό δεν είναι γενικά πρόβλημα να εκτελέσετε οποιοδήποτε περιεχόμενο Adobe Flash που θα βρείτε στον ιστό.Ακόμα κι αν υπάρχουν τρωτά σημεία στο Flash, είναι διορθωμένα και η Adobe δεν παραιτείται από το sandboxing του Flash.
Από προεπιλογή, η Java θα φορτώνει μόνο υπογεγραμμένα μικροεφαρμογές.Αυτό ακούγεται ωραία, σαν μια καλή βελτίωση της ασφάλειας.Ωστόσο, υπάρχει σοβαρή συνέπεια εδώ.Όταν ένα applet Java υπογραφεί, θεωρείται "αξιόπιστο" και δεν χρησιμοποιεί το sandbox.Όπως λέει το προειδοποιητικό μήνυμα της Java:
"Αυτή η εφαρμογή θα τρέχει με απεριόριστη πρόσβαση, η οποία μπορεί να θέσει σε κίνδυνο τον υπολογιστή και τις προσωπικές σας πληροφορίες."
Ακόμη και η δική Apple έκδοση ελέγχου της Apple applet - ένα απλό μικρό applet που τρέχει Java για να ελέγξει την εγκατεστημένη έκδοσησας λέει εάν χρειάζεται να ενημερώσετε - απαιτεί αυτή την πλήρη πρόσβαση στο σύστημα.Αυτό είναι εντελώς τρελό.
Με άλλα λόγια, η Java έχει παραιτηθεί πραγματικά από το sandbox.Από προεπιλογή, μπορείτε να εκτελέσετε μια εφαρμογή Java ή να την εκτελέσετε με πλήρη πρόσβαση στο σύστημά σας.Δεν υπάρχει τρόπος να χρησιμοποιήσετε το sandbox εκτός και αν τροποποιήσετε τις ρυθμίσεις ασφαλείας της Java.Το sandbox είναι τόσο αναξιόπιστο που κάθε κομμάτι κώδικα Java που συναντάτε σε απευθείας σύνδεση χρειάζεται πλήρη πρόσβαση στο σύστημά σας.Μπορείτε επίσης να κατεβάσετε ένα πρόγραμμα Java και να το εκτελέσετε παρά να στηρίξετε την προσθήκη του προγράμματος περιήγησης, η οποία δεν προσφέρει την πρόσθετη ασφάλεια που είχε αρχικά σχεδιαστεί για να παρέχει.
Όπως εξήγησε ένας προγραμματιστής Java: "Η Oracle σκοπίμως σκοτώνει το κιβώτιο ασφαλείας της Java κάτω από το πρόσχημα της βελτίωσης της ασφάλειας."
Web Browsers την απενεργοποιούν με δική τους
Ευτυχώς, οι περιηγητές ιστού προχωρούν για να διορθώσουν την αδράνεια της Oracle.Ακόμη και αν έχετε εγκαταστήσει και ενεργοποιήσει την προσθήκη προγράμματος περιήγησης Java, το Chrome και ο Firefox δεν θα φορτώσουν το περιεχόμενο Java από προεπιλογή.Χρησιμοποιούν το "click-to-play" για περιεχόμενο Java.
Ο Internet Explorer εξακολουθεί να φορτώνει αυτόματα το περιεχόμενο Java.Ο Internet Explorer έχει βελτιωθεί κάπως - τελικά άρχισε να αποκλείει τα πιο πρόσφατα, ευάλωτα στοιχεία ελέγχου ActiveX μαζί με την έκδοση "Windows 8.1 August Update"( γνωστή και ως Windows 8.1 Update 2) τον Αύγουστο του 2014. Το Chrome και ο Firefox το κάνουν για πολύ περισσότερο.Ο Internet Explorer βρίσκεται πίσω από άλλα προγράμματα περιήγησης εδώ - και πάλι.
Πώς να απενεργοποιήσετε το Java Plug-in
Όλοι όσοι χρειάζονται Java εγκατεστημένο θα πρέπει τουλάχιστον να απενεργοποιήσουν την προσθήκη από τον Πίνακα Ελέγχου της java.Με τις πρόσφατες εκδόσεις Java, μπορείτε να πατήσετε μία φορά το πλήκτρο των Windows για να ανοίξετε το μενού Έναρξη ή την Αρχική οθόνη, πληκτρολογήστε "Java" και, στη συνέχεια, κάντε κλικ στη συντόμευση "Διαμόρφωση Java".Στην καρτέλα Ασφάλεια, καταργήστε την επιλογή "Ενεργοποίηση περιεχομένου Java στο πρόγραμμα περιήγησης".
Ακόμη και μετά την απενεργοποίηση της προσθήκης, η Minecraft και οποιαδήποτε άλλη εφαρμογή γραφείου που εξαρτάται από την Java θα λειτουργήσει καλά.Αυτό θα μπλοκάρει μόνο τις μικροεφαρμογές Java ενσωματωμένες σε ιστοσελίδες.
Ναι, οι μικροεφαρμογές Java εξακολουθούν να υπάρχουν στη φύση.Θα τα βρείτε πιθανότατα πιο συχνά σε εσωτερικούς χώρους όπου κάποια εταιρεία έχει μια αρχαία εφαρμογή γραμμένη ως applet Java.Αλλά οι μικροεφαρμογές Java είναι μια νεκρή τεχνολογία και εξαφανίζονται από τον ιστό του καταναλωτή.Υποτίθεται ότι ανταγωνίζονται με το Flash, αλλά έχασαν.Ακόμη και αν χρειάζεστε Java, ίσως δεν χρειάζεστε την προσθήκη.
Η περιστασιακή εταιρεία ή χρήστης που χρειάζεται το plug-in προγράμματος περιήγησης Java θα πρέπει να μεταβεί στον Πίνακα Ελέγχου της Java και να την ενεργοποιήσει.Η προσθήκη πρέπει να θεωρείται ως επιλογή συμβατότητας παλαιού τύπου.