15Sep
Java vastasi 91 prosentista kaikista tietokoneen kompromisseista vuonna 2013. Useimmilla ihmisillä on käytössä vain Java-selaimen laajennus - he käyttävät vanhentunutta, haavoittuvaa versiota. Hei, Oracle - on aika poistaa kyseinen laajennus oletuksena.
Oracle tietää, että tilanne on katastrofi. He ovat luopuneet Java-laajennuksen turva-hiekkalaatikosta, joka on alunperin suunniteltu suojaamaan sinulta haitallisilta Java-sovelmilta. Java-sovellukset verkossa saavat täydellisen pääsyn järjestelmään oletusasetuksilla.
Java-selainpakkaus on täydellinen katastrofi
Java-puolustajat pyrkivät valittamaan aina, kun sivustot, kuten meidän, kirjoittavat että Java on erittäin epävakaa."Se on vain selaimen plug-in", he sanovat - tunnustaen kuinka rikki se on. Mutta tämä epävarma selaimen laajennus on oletusarvoisesti käytössä jokaisessa Java-asennuksessa. Tilastot puhuvat puolestaan. Myös tässä How-To Geekissä 95 prosenttia ei-mobiililaitteillemme on Java-plug-in käytössä.Ja olemme verkkosivusto, joka kertoo lukijoillemme Java-ohjelman poistamisen tai ainakin estää plug-inin.
Internetin laajuiset tutkimukset osoittavat, että suurin osa Java-asennetuista tietokoneista on vanhentuneita Java-selaimen laajennuksia, joita haittaohjelmien verkkosivustoilla voi tuhota. Vuonna 2013 Websense Security Labsin tutkimus osoitti, että 80 prosenttia tietokoneista oli vanhentuneita ja haavoittuvia Java-versioita. Jopa hyväntekeväisyystutkimukset ovat pelottavia - heillä on tapana väittää, että yli 50 prosenttia Java-laajennuksista on vanhentuneita.
Vuonna 2014 Ciscon vuotuisen turvallisuusselvityksen mukaan 91 prosenttia kaikista vuonna 2013 tehdyistä hyökkäyksistä oli Javaa vastaan. Oracle jopa yrittää hyödyntää tätä ongelmaa niputtamalla kauhea Ask Toolbar ja muut junkware Java-päivitykset - pysy tyylikäs, Oracle.
Oracle Gave Up -ohjelman Java-laajennuksen hiekkalaatikkoon
Java-laajennusohjelma käyttää Java-ohjelmaa - tai "Java-appletti" - upotettuna web-sivulle, kuten Adobe Flash toimii. Koska Java on monimutkainen kieli, jota käytetään kaikessa työpöytäsovelluksista palvelinohjelmistoihin, plug-in suunniteltiin alunperin näiden Java-ohjelmien suorittamiseen suojatussa hiekkalaatikossa. Tämä estäisi heitä tekemästä ikäviä asioita järjestelmäänne, vaikka he yrittäisivät.
Se kuitenkin on teoria. Käytännössä on näennäisesti loputtomasti virhettä haavoittuvuuksia, jotka sallivat Java-sovelmien pääsyn hiekkalaatikkoon ja suorittamaan karkea ruudukko järjestelmän yli.
Oracle ymmärtää, että hiekkalaatikko on nyt pohjimmiltaan rikki, joten hiekkalaatikko on nyt pohjimmiltaan kuollut. He ovat luopuneet siitä.Oletusarvoisesti Java ei enää avaa "allekirjoittamattomia" appletteja. Suorittamattomien applettien suorittaminen ei saisi olla ongelma, jos turvahiekkalaatikko on luotettava - siksi verkossa ei ole yleensä mitään ongelmia, joiden avulla voit käyttää mitään Adobe Flash-sisältöä.Vaikka Flashissa on haavoittuvuuksia, ne ovat kiinteitä ja Adobe ei luovu Flashin hiekkalaatikoista.
Oletusarvoisesti Java lataa vain allekirjoitetut sovellukset. Se kuulostaa hyvältä, kuten hyvä turvallisuuden parantaminen. Siitä on kuitenkin vakava seuraus. Kun Java-appletti on allekirjoitettu, sitä pidetään luotettavana eikä se käytä hiekkalaatikkoa. Kuten Java-varoitusviestissä se esittää:
"Tämä sovellus ajetaan rajoittamattomalla pääsyllä, joka voi vaarantaa tietokoneesi ja henkilökohtaiset tietosi."
Jopa Oraclein Java-version tarkistussovellus - yksinkertainen pieni appletti, joka suorittaa Java-ohjelman asennetun versionkertoo, jos haluat päivittää - vaatii tämän järjestelmän koko käyttöoikeuden. Se on täysin hullua.
Toisin sanoen Java on todellakin luopunut hiekkalaatikosta. Oletusarvoisesti et voi suorittaa Java-appletia tai käyttää sitä täydellä järjestelmällä.Hiekkalaatikkoa ei voi käyttää, ellei Java-suojausasetuksia tehdä.Hiekkalaatikko on niin epäluuloinen, että jokainen Java-koodi, jota kohtaat verkossa, tarvitsee täyden pääsyn järjestelmään. Voit myös ladata Java-ohjelman ja käyttää sitä sen sijaan, että luotettaisiin selaimen laajennukseen, joka ei tarjoa lisäturvaa, jonka alunperin se on suunniteltu tarjoamaan.
Yksi Java-kehittäjä selitti: "Oracle on tahallaan tappanut Java-tietoturva-hiekkalaatikon turvallisuuden parantamiseksi."
-selaimet poistavat sen käytöstä itsestään
Onneksi verkkoselaimet ovat siirtymässä korjaamaan Oraclen toimettomuus. Vaikka sinulla on Java-selainpaketti asennettuna ja käytössä, Chrome ja Firefox eivät lataa Java-sisältöä oletusarvoisesti. He käyttävät "click-to-play" Java-sisältöä.
Internet Explorer lataa Java-sisällön automaattisesti. Internet Explorer on parantunut jonkin verran - se vihdoin alkoi estää vanhentuneita, haavoittuvia ActiveX-komponentteja elokuussa 2014 julkaistun "Windows 8.1 August Update" -ohjelman( kuten Windows 8.1 Update 2) kanssa. Chrome ja Firefox ovat tehneet tämän paljon kauemmin. Internet Explorer on muiden selainten taakse - jälleen.
Java-plug-in
: n poistaminen Jokainen, joka tarvitsee Java-asennuksen, pitäisi ainakin poistaa plug-in java-ohjauspaneelista. Uusimpien Java-versioiden avulla voit napauttaa Windows-näppäintä kerran avaamalla Käynnistä-valikon tai Käynnistä-näytön, kirjoittamalla "Java" ja valitsemalla sitten "Määritä Java" -pikakuvake. Poista Suojaus-välilehdeltä Ota Java-sisältö käyttöön selaimessa -vaihtoehto.
Jopa laajennuksen poistamisen jälkeen Minecraft ja muut Java-sovellukseen soveltuvat työpöytäsovellukset toimivat hyvin. Tämä estää vain Java-sovellukset, jotka on upotettu verkkosivuille.
Kyllä, Java-sovelluksia on vielä olemassa luonnossa. Tulet todennäköisesti löytämään ne useimmiten sisäisillä sivustoilla, joilla jotkut yritykset ovat vanha sovellus, joka on kirjoitettu Java-sovelmaksi. Mutta Java-sovelmat ovat kuollut tekniikka, ja ne ovat kadonneet kuluttajien verkosta. Heidän piti kilpailla Flashin kanssa, mutta he menettivät. Vaikka tarvitset Javaa, et todennäköisesti tarvitse laajennusta.
Ajoittainen yritys tai käyttäjä, joka tarvitsee Java-selaimen laajennuksen, pitäisi joutua siirtymään Java-ohjauspaneeliin ja ottamaan sen käyttöön. Plug-inia on pidettävä vanha yhteensopivuusvaihtoehto.