15Sep
Java 2013-ban a számítógép kompromisszumok 91 százaléka volt felelős. A legtöbb ember nem csak a Java böngésző beépülő modulját engedélyezi - egy korszerű, sérülékeny verziót használ. Hé, Oracle - itt az ideje, hogy alapértelmezés szerint tiltsa le ezt a plug-inet.
Az Oracle tudja, hogy a helyzet katasztrófa. Feladták a Java plug-in biztonsági homokzsákját, amelyet eredetileg arra terveztek, hogy megvédjen a rosszindulatú Java-appletektől. A Java-alkalmazások az interneten teljes hozzáférést biztosítanak a rendszerhez az alapértelmezett beállításokkal.
A Java böngésző beépülő modul teljes katasztrófa
A Java védelmezői hajlamosak arra panaszkodni, amikor a miénkhez hasonló webhelyek azt írják, hogy a Java rendkívül bizonytalan."Ez csak a böngésző beépülő modulja" - mondják - elismerve, hogy ez megtört. De ez a bizonytalan böngésző beépülő modul alapértelmezés szerint engedélyezve van minden egyes Java-telepítésnél. A statisztikák magukért beszélnek. Még itt is a How-To Geek, 95% -a nem-mobil látogatók a Java plug-in engedélyezve van.És mi olyan weboldal vagyunk, amely továbbra is azt mondja olvasóinknak, hogy eltávolítják a Java-t, vagy legalább letiltják a plug-inet.
Az egész interneten folytatott tanulmányok azt mutatják, hogy a Java-telepített számítógépek többségének van egy elavult Java böngészője, amely a rosszindulatú webhelyek megsemmisítésére szolgál.2013-ban a Websense Security Labs tanulmánya kimutatta, hogy a számítógépek 80 százaléka rendelkezik a Java elavult, kiszolgáltatott változataival. Még a leginkább jótékonysági tanulmányok is ijesztőek - hajlamosak arra, hogy több mint 50 százaléka a Java plug-inek elavultak.
2014-ben a Cisco éves biztonsági jelentése szerint a támadások 91% -a 2013-ban volt a Java ellen. Az Oracle még megpróbálja kihasználni ezt a problémát azáltal, hogy a szörnyű Ask Toolbar és más junkware csomagokat összekapcsolja a Java frissítésekkel - maradjon klassz, az Oracle.
Oracle Gave Up a Java Plug-in Sandboxing
A Java plug-in egy Java programot futtat - vagy egy "Java applet" -t - beillesztett egy weboldalra, hasonlóan az Adobe Flash működéséhez. Mivel a Java egy összetett nyelv, amelyet az asztali alkalmazásoktól a kiszolgálószoftverekig alkalmaznak, a plug-inet eredetileg úgy tervezték, hogy ezeket a Java programokat biztonságos homokzsákban futtassa. Ez megakadályozná őket abban, hogy csúnya dolgokat csináljanak a rendszerben, még akkor is, ha megpróbálták.
Ez egyébként az elmélet. A gyakorlatban van egy látszólag soha véget nem érő biztonsági rámpa, amely lehetővé teszi a Java-kisalkalmazások számára, hogy elmeneküljenek a homokdobozból és futtassák a rendszer felett.
Az Oracle rájön, hogy a homokozó alapvetően megszakadt, így a homokozó alapvetően halott. Feladták. Alapértelmezés szerint a Java már nem fut "aláírás nélküli" kisalkalmazásokkal. Az aláírás nélküli kisalkalmazások futása nem jelenthet problémát, ha a biztonsági homokzsák megbízhatónak bizonyul - ezért általában nem jelent problémát az Adobe weboldalon található Adobe Flash tartalmak futtatása. Még ha vannak olyan biztonsági rések is a Flash-ben, azok fixek és az Adobe nem adja fel a Flash sandboxját.
Alapértelmezés szerint a Java csak aláírt appleteket tölt be. Ez jól hangzik, mint egy jó biztonsági javulás. Van azonban komoly következménye. Ha Java-appletet írtak alá, úgy tekintik "megbízhatónak", és nem használja a homokdobozt. Mint a Java figyelmeztető üzenete:
"Ez az alkalmazás korlátozás nélküli hozzáféréssel fog futni, ami veszélyezteti a számítógépet és a személyes adatait."
Még az Oracle saját Java verziója is ellenőrizze az appletet - egyszerű kis applet, amely Java-t futtat a telepített verzió ellenőrzéséremegmondja, frissíteni kell-e - ezt a teljes rendszer-hozzáférést megköveteli. Ez teljesen őrült. Más szóval, a Java valóban lemondott a homokozóból. Alapértelmezés szerint nem futtathat Java alkalmazást, vagy futtathatja a rendszer teljes hozzáférését. A homokozó nem használható, hacsak nem módosítja a Java biztonsági beállításait. A homokozó olyan megbízhatatlan, hogy minden egyes Java-kód, amelyet online találkozol, teljes hozzáférést kell biztosítania a rendszeréhez. Lehet, hogy csak egy Java programot tölt le és futtat, mintsem a böngésző beépülő moduljára támaszkodva, amely nem kínálja azt a kiegészítő biztonságot, amelyet eredetileg terveztek.
Mint egy Java fejlesztő elmagyarázta: "Az Oracle szándékosan megöli a Java biztonsági homokdobozt a biztonság javítása mellett." Az
webböngészők letiltják saját példányukon
Szerencsére a webböngészők behatolnak az Oracle tétlenségének javításához. Ha a Java böngésző beépülő modulja be van kapcsolva és be van kapcsolva, a Chrome és a Firefox alapértelmezés szerint nem tölt be Java tartalmat. Használnak "click-to-play" Java-tartalmat.
Az Internet Explorer továbbra is automatikusan betölti a Java tartalmat. Az Internet Explorer némileg javult - végül elkezdte megakadályozni az elavult, sérülékeny ActiveX-vezérlőket, valamint a "Windows 8.1 August Update"( a Windows 8.0 frissítés 2) című verzióját 2014. augusztusában. A Chrome és a Firefox már jóval hosszabb ideig. Az Internet Explorer a többi böngésző mögött van - ismét.
Hogyan lehet letiltani a Java Plug-in
-t Mindenkinek, aki Java-t igényel, legalább letiltja a plug-inet a java vezérlőpultjáról. A legfrissebb Java-verziókkal egyszer megérintheti a Windows billentyűt a Start menü vagy a Start képernyő megnyitásához, írja be a "Java" parancsot, majd kattintson a "Java konfigurálása" parancsikonra. A Biztonság lapon szüntesse meg a "Java-tartalom engedélyezése a böngészőben" opciót.
Még miután letiltottad a plug-inet, az Minecraft és bármely más, a Java-tól függő asztali alkalmazás csak finom lesz. Ez csak a weboldalakon beágyazott Java-appleteket blokkolja.
Igen, a Java-kisalkalmazások még mindig léteznek a vadonban. Valószínűleg leggyakrabban megtalálja azokat a belső webhelyeken, ahol egy vállalatnak van egy ősi alkalmazása Java appletként írva. De a Java-alkalmazások halott technológiák, és eltűnnek a fogyasztói webről. Volt, hogy versenyezzenek a Flash-el, de elvesztették. Még akkor is, ha szüksége van a Java-ra, valószínűleg nem kell a plug-in.
Az alkalmi cégnek vagy felhasználónak, amelyiknek szüksége van a Java böngésző beépülő moduljára, be kell mennie a Java Vezérlőpultba, és engedélyezni kell annak engedélyezését. A plug-inet örökölt kompatibilitásnak kell tekinteni.
