15Sep
Java oli vastutav 91 protsendi kõigi kompromisside eest 2013. aastal. Enamik inimesi ei ole lubatud ainult Java-brauseri pistikprogrammiga - nad kasutavad aegunud, haavatavat versiooni. Hei, Oracle - on aeg selle pistikprogrammi vaikimisi keelata.
Oracle teab, et olukord on katastroof. Nad on loobunud Java pistikprogrammi turvalisuse liivakast, mis oli algselt mõeldud selleks, et kaitsta teid pahatahtlike Java-appletide eest. Veebis olevad Java-appletid saavad teie süsteemile täieliku juurdepääsu vaikeseadetele.
Java Browser Plug-in on täielik katastroof
Java kaitsjad kurdavad alati, kui saidid nagu meie kirjutavad, et Java on äärmiselt ebakindel."See on lihtsalt brauseri pistikprogramm," ütlevad nad - tunnistavad, kuidas see on rikutud. Kuid see ebaturvaline brauseri pistikprogramm on vaikimisi lubatud igas Java installis seal. Statistika räägib enda eest. Isegi siin How-To Geekis on 95% meie mitte-liikuvatest külastajatest Java-pluginat lubatud. Ja me oleme veebisait, mis ütleb lugejatele Java-i desinstallimist või vähemalt pistikprogrammi keelamist. Internetis
uuringud näitavad, et enamusel arvutitest, millel on Java-install, on ajakohane Java-brauseri pistikprogramm, mis on pahatahtlike veebisaitide jaoks saadaval. Websense Security Labs uuring näitas 2013. aastal, et 80 protsenti arvutitest olid Java-i aegumatud ja haavatavad versioonid. Isegi kõige heategevuslikud uuringud on hirmutav - nad väidavad, et enam kui 50 protsenti Java pistikprogrammidest on aegunud.
Aastal 2014 ütles Cisco iga-aastane julgeolekuaruanne, et 91 protsenti kõigist 2013. aasta rünnakutest olid Java vastu. Oracle püüab isegi seda probleemi ära kasutada, pakkudes ühilduvat kohutavat tööriistaribasid ja muud junkware koos Java värskendustega - jääge stiilseks, Oracle.
Oracle jõudis Java Plug-in's liivakastisse
Java pistikprogramm töötab Java-programmi või "Java-appleti", mis on manustatud veebisaidile sarnaselt sellele, kuidas Adobe Flash töötab. Kuna Java on kompleksne keel, mida kasutatakse kõike alates töölauarakendustest serveritarkvarale, oli pistikprogramm algselt mõeldud selliste Java-programmide käitamiseks turvalises liivakasti. See takistaks neil teie süsteemile vihaseid asju tegema, isegi kui nad proovisid.
See on niisugune teooria. Tegelikkuses on näiliselt lõputu viletsus turvaaukude tõttu, mis võimaldavad Java-aplettidel pääseda liivakastist ja käivitada oma süsteemis roughshodi.
Oracle mõistab, et liivakast on nüüd põhiliselt katki, nii et liivakast on nüüd põhimõtteliselt surnud. Nad on loobunud sellest. Vaikimisi ei käivita Java enam "unsigned" aplete. Allalaaditavate appletide käitamine ei tohiks olla probleemiks, kui turbevorming oleks usaldusväärne - seetõttu ei pruugi üldjuhul veebis leitavat Adobe Flashi sisu käivitada. Isegi kui Flashis on haavatavus, on need fikseeritud ja Adobe ei loobu Flashi liivakastist.
Vaikimisi laadib Java ainult allkirjastatud aplete. See kõlab hästi, nagu hea turvalisuse parandamine. Siiski on siin tõsine tagajärg. Kui Java-aplett on allkirjastatud, loetakse see usaldusväärseks ja see ei kasuta liivakasti. Nagu Java hoiatus sõnum paneb see:
"See rakendus käivitatakse piiramatu juurdepääs, mis võib panna oma arvuti ja isikuandmeid ohtu."
Isegi Oracle enda Java versiooni kontrollida applet - lihtne väike apleti, mis käivitab Java, et kontrollida oma installitud versiooni jaütleb teile, kas teil on vaja värskendada - see nõuab kogu süsteemi juurdepääsu. See on täiesti hull.
Teisisõnu, Java on tõesti loobunud liivakastist. Vaikimisi ei saa te Java-appleti käivitada ega käivitada selle täieliku juurdepääsu teie süsteemile. Liivakasti kasutamine pole võimalik, kui te ei ole Java turvaseaded kohandanud. Liivakast on nii ebatõenäoline, et iga natuke Java-koodiga, millega te veebi kokku puutute, vajab teie süsteemile täielikku juurdepääsu. Võite ka lihtsalt Java-programmi alla laadida ja selle käitada, selle asemel et tugineda brauseri pistikprogrammile, mis ei paku täiendavat turvalisust, mille see algselt oli mõeldud.
Üks Java arendaja selgitas: "Oracle tahtlikult tapab Java turvalahenduse liivakasti turvalisuse parandamise ettekäändel."
veebibrauserid blokeerivad selle ise
Õnneks on veebibrauserid astumas Oracle'i tegevusetuse parandamisse. Isegi kui Java brauseri pistikprogramm on installitud ja lubatud, Chrome ja Firefox ei laadita Java-sisu vaikimisi. Nad kasutavad Java-sisu jaoks "kliki-et-mängida".
laadib Internet Explorer automaatselt Java-sisu. Internet Explorer on mõnevõrra paranenud - lõpuks sai ta augustis 2014 2014. aasta augustis 2014. aasta augustis hiljuti blokeerima aegunud, haavatavaid ActiveX-juhtelemendid koos "Windows 8.1 August Update"( ka Windows 8.1 uuendatud versioon 2). Chrome ja Firefox on seda teinud palju kauem. Internet Explorer on teiste brauserite taga - jällegi.
Kuidas Java-plugin
keelata Igaüks, kes vajab installitud Java-seadet, peaks vähemalt eemaldama pistikprogrammi Java-juhtpaneelilt. Viimaste Java versioonidega võite Windowsi klahvi korraga koputada, kui soovite avada menüü Start või Start, käsku "Java" ja seejärel klõpsake "Java seadistamise" otsetee. Vahekaardil Turvalisus tühjendage valik "Luba Java-sisu brauseris".
Isegi pärast pistikprogrammi blokeerimist töötavad Minecraft ja kõik muud Java-sõltuvad töölauarakendused lihtsalt hästi. See blokeerib ainult veebilehti sisestatud Java-apletid.
Jah, Java-apletid on endiselt looduses. Tõenäoliselt leiate need kõige sagedamini sisemiste saitidest, kus mõnel firmal on Java rakendus. Kuid Java-appletid on surnud tehnoloogia ja need kaovad tarbija veebist. Nad pidid Flashiga konkureerima, kuid nad kaotasid. Isegi kui vajate Java-i, pole arvatavasti pluginat vaja.
Juhusliku ettevõtte või kasutaja, kes vajab Java-brauseri pistikprogrammi, peaks minema Java-juhtpaneelile ja lubama selle lubada. Pistikprogrammi tuleks pidada päratuks ühilduvuse võimaluseks.