15Sep

Oracle ne može osigurati plug-in Java, pa zašto je još uvijek omogućen prema zadanim postavkama?

Java je odgovoran za 91 posto kompromisa računala u 2013. Većina korisnika ne samo da je omogućen dodatak Java preglednika - oni koriste zastarjele, ranjive verzije. Hej, Oracle - vrijeme je da ga onemogućite prema zadanim postavkama.

Oracle zna da je situacija katastrofa. Odustali su od sigurnosnog pješčaniku, Java plug-in, koji je izvorno dizajniran kako bi vas zaštitio od zlonamjernih Java apleta. Java apleti na webu imaju potpun pristup vašem sustavu uz zadane postavke.

Plug-in Java Browser je potpuna katastrofa

Branitelji Java obično se žale kad god web stranice poput nas pišu da je Java izuzetno nesiguran."To je samo plug-in preglednika", kažu - priznajući kako je slomljena. Ali taj nesigurni plug-in preglednika omogućen je prema zadanim postavkama u svakoj instalaciji Java tamo. Statistika govori za sebe.Čak i ovdje u How-To Geeku, 95 posto naših ne-mobilnih posjetitelja omogućilo je Java plug-in. A mi smo web-lokacija koja čitateljima nastavlja deinstalirati Java ili barem onemogućiti dodatak.

Internetom širom svijeta, studije pokazuju da većina računala s instaliranim Java softverom imaju zastarjeli plug-in Java preglednika koji je dostupan za zlonamjerne web-lokacije koje će uništiti. Godine 2013. studija tvrtke Websense Security Labs pokazala je da 80 posto računala ima zastarjele, ranjive verzije Java.Čak i najatraktivnija dobrotvorna studija zastrašujuća - oni imaju tendenciju da tvrde da je više od 50 posto Java plugova zastarjelo.

U 2014. godini Ciscoova godišnja izvješća o sigurnosti navela su kako je 91 posto svih napada u 2013. godini bilo protiv Jave. Oracle čak pokušava iskoristiti ovaj problem grupiranjem strašne trake za Ask Toolbar i drugih junkwarea s Java ažuriranjima - ostati elegantan, Oracle.

Oracle predao Java Sandboxing za Java Plug-in

Java plug-in pokreće Java program - ili "Java applet" - ugrađen na web stranicu, slično načinu na koji Adobe Flash radi. Budući da je Java složen jezik koji se koristi za sve, od aplikacija za stolna računala do poslužiteljskog softvera, dodatak je izvorno dizajniran za pokretanje tih Java programa u sigurnom sandboxu. To bi ih spriječilo da učine gadne stvari vašem sustavu, čak i ako su pokušali.

U svakom slučaju to je teorija. U praksi, naizgled je neprekidni tok ranjivosti koji omogućuju Java appletima da pobjegnu u pješčaniku i pokrenu grubo stanje na vašem sustavu.

Oracle shvaća da je pješčanik sada u osnovi slomljen, tako da je pješčanik sada u osnovi mrtav. Odustali su od njega. Prema zadanim postavkama, Java više neće pokretati "nepotpisane" applete. Pokretanje nepotpisanih aplikacija ne bi trebalo biti problem ako je sigurnosni pješčenjak bio pouzdani - to je razlog zašto obično nije problem pokretanje bilo kojeg Adobe Flash sadržaja koji se nalazi na webu.Čak i ako postoje sigurnosni propusti u Flashu, oni su fiksni i Adobe ne odustaje od Flashova sandboxa.

Prema zadanim postavkama, Java će samo učitati potpisane aplikacije. To zvuči dobro, kao dobro poboljšanje sigurnosti. Međutim, tu ima ozbiljnu posljedicu. Kada je potpisan Java aplet, smatra se "pouzdanim" i ne upotrebljava pješčanik. Kao što je Java poruka upozorenja stavlja:

"Ova aplikacija će se izvoditi s neograničenim pristupom koji može staviti vaše računalo i osobne podatke u opasnosti."

Čak i Oracle Java verzija provjeriti aplet - jednostavan mali aplet koji pokreće Java za provjeru instalirane verzije ivam govori ako trebate ažurirati - zahtijeva ovaj puni pristup sustavu. To je potpuno lud.

Drugim riječima, Java je stvarno odustala od sandboxa. Prema zadanim postavkama, ne možete pokrenuti Java applet ili ga pokrenuti s punim pristupom vašem sustavu. Ne postoji način za korištenje pješčanika osim ako ne uštedite Java sigurnosne postavke. Pješčanik je toliko nepouzdan da svaki dio Java koda s kojima se susrećete na mreži treba puni pristup vašem sustavu. Možda ćete i samo preuzeti Java program i pokrenuti je umjesto da se oslanjate na plug-in preglednika koji ne nudi dodatnu sigurnost koju je izvorno osmišljeno pružiti.

Kao jedan Java razvojni programer objasnio je: "Oracle namjerno ubije Java sigurnosni pješčanik pod pretpostavkom poboljšanja sigurnosti."

web preglednici to onesposobljavaju

Srećom, web preglednici ulaze u korak Oracleova neaktivnost.Čak i ako instalirate i omogućite dodatak Java preglednika, Chrome i Firefox nećete učitati Java sadržaj prema zadanim postavkama. Koriste "klikni za reprodukciju" za Java sadržaj.

Internet Explorer i dalje automatski učitava Java sadržaj. Internet Explorer se donekle popravio - konačno je u kolovozu 2014. započeo blokiranje zastarjelih i ranjivih ActiveX kontrola zajedno s "Windows 8.1 August Update"( aka Windows 8.1 Update 2). Chrome i Firefox to rade mnogo dulje, Internet Explorer je iza drugih preglednika ovdje - opet.

Kako onemogućiti Java Plug-in

Svatko tko treba instalirati Java treba barem onemogućiti plug-in iz Java Control Panel. Uz nedavne verzije Java, možete taknite tipku Windows jednom da biste otvorili izbornik Start ili Početni zaslon, upišite "Java", a zatim kliknite prečac "Konfiguracija Java".Na kartici Sigurnost poništite opciju "Omogući Java sadržaj u pregledniku".

Čak i nakon što onemogućite dodatak, Minecraft i sve druge aplikacije za desktop koje ovise o Javi će se izvršiti sasvim u redu. To će samo blokirati Java aplete ugrađene na web stranicama.

Da, Java apleti i dalje postoje u divljini. Vjerojatno ćete ih najčešće naći na internim mjestima na kojima neka tvrtka ima drevnu aplikaciju koja je napisana kao Java aplet. No, Java apleti su mrtva tehnologija i oni nestaju s interneta za potrošače. Trebali su se natjecati s Flashom, ali su izgubili.Čak i ako trebate Java, vjerojatno ne trebate dodatak.

Povremeno poduzeće ili korisnik koji je potreban plug-in Java preglednika trebao bi ići na Javaovu upravljačku ploču i odabrati to omogućiti. Dodatak bi se trebao smatrati opcijom starijih kompatibilnosti.