15Sep
Java bertanggung jawab atas 91 persen dari semua kompromi komputer di tahun 2013. Kebanyakan orang tidak hanya memasang browser Java - mereka menggunakan versi yang ketinggalan zaman dan rentan. Hei, Oracle - saatnya menonaktifkan plugin itu secara default.
Oracle mengetahui situasinya adalah bencana. Mereka telah menyerah di sandbox keamanan plug-in Java, yang awalnya dirancang untuk melindungi Anda dari applet Java yang berbahaya. Applet Java di web mendapatkan akses lengkap ke sistem Anda dengan pengaturan default.
Browser Java Plug-in adalah Bencana yang Selesai
Pembela di Jawa cenderung mengeluh setiap kali situs seperti situs kami menulis bahwa Java sangat tidak aman."Itu hanya plug-in browser," kata mereka - mengakui betapa rusaknya itu. Tapi plug-in browser yang tidak aman diaktifkan secara default di setiap instalasi Java di luar sana. Statistik berbicara sendiri. Bahkan di sini, di How-To Geek, 95 persen pengunjung non-seluler kami memiliki plugin Java yang diaktifkan. Dan kami adalah situs web yang terus memberi tahu pembaca kami untuk mencopot pemasangan Java atau setidaknya menonaktifkan plugin.
Internet-wide, penelitian terus menunjukkan bahwa sebagian besar komputer dengan Java yang diinstal memiliki plug-in browser Java yang sudah kadaluarsa yang tersedia untuk situs web berbahaya hingga rusak. Pada tahun 2013, sebuah studi oleh Websense Security Labs menunjukkan bahwa 80 persen komputer memiliki versi Jawa yang ketinggalan zaman dan rentan. Bahkan studi paling amal pun menakutkan - mereka cenderung mengklaim lebih dari 50 persen plug-in Java sudah usang.
Pada tahun 2014, laporan keamanan tahunan Cisco mengatakan 91 persen dari semua serangan pada tahun 2013 bertentangan dengan Jawa. Oracle bahkan mencoba memanfaatkan masalah ini dengan membundel Ask Toolbar yang mengerikan dan junkware lainnya dengan update Java - tetap berkelas, Oracle.
Oracle Menyerahkan Plugin Java Plug-in Sandboxing
Java plug-in menjalankan program Java - atau "Java applet" - tertanam pada halaman web, mirip dengan bagaimana Adobe Flash bekerja. Karena Java adalah bahasa yang kompleks yang digunakan untuk segala hal mulai dari aplikasi desktop hingga perangkat lunak server, plug-in pada awalnya dirancang untuk menjalankan program Java ini di kotak pasir yang aman. Ini akan mencegah mereka melakukan hal-hal buruk ke sistem Anda, bahkan jika mereka mencobanya.
Itulah teorinya. Dalam praktiknya, ada aliran kerentanan yang tampaknya tidak pernah berakhir yang memungkinkan applet Java lolos dari kotak pasir dan menjalankan sistem yang kasar di sistem Anda.
Oracle menyadari bak pasir sekarang pada dasarnya rusak, sehingga bak pasir sekarang pada dasarnya mati. Mereka sudah menyerah. Secara default, Java tidak lagi menjalankan applet "unsigned".Menjalankan applet unsigned seharusnya tidak menjadi masalah jika sandbox keamanan bisa dipercaya - oleh karena itu umumnya tidak menjadi masalah untuk menjalankan konten Adobe Flash yang Anda temukan di web. Bahkan jika ada kerentanan di Flash, mereka tetap dan Adobe tidak menyerah pada sandboxing Flash.
Secara default, Java hanya akan memuat applet yang ditandatangani. Kedengarannya bagus, seperti perbaikan keamanan yang baik. Namun, ada konsekuensi serius disini. Saat applet Java ditandatangani, ini dianggap "terpercaya" dan tidak menggunakan sandbox. Seperti pesan peringatan Java:
"Aplikasi ini akan berjalan dengan akses tak terbatas yang dapat membahayakan komputer dan informasi pribadi Anda."
Bahkan applet applet versi Oracle sendiri - applet kecil sederhana yang menjalankan Java untuk memeriksa versi terinstal Anda danmemberitahu Anda jika Anda perlu memperbarui - memerlukan akses sistem penuh ini. Itu benar-benar gila.
Dengan kata lain, Java benar-benar telah menyerah di sandbox. Secara default, Anda tidak bisa menjalankan applet Java atau menjalankannya dengan akses penuh ke sistem Anda. Tidak ada cara untuk menggunakan kotak pasir kecuali Anda men-tweak pengaturan keamanan Java. Kotak pasir sangat tidak dapat dipercaya sehingga setiap bit kode Java yang Anda temukan online memerlukan akses penuh ke sistem Anda. Sebaiknya Anda mendownload program Java dan menjalankannya daripada mengandalkan plug-in browser, yang tidak menawarkan keamanan tambahan yang pada awalnya dirancang untuk disediakan.
Sebagai salah satu pengembang Java menjelaskan: "Oracle sengaja membunuh kotak pasir keamanan Java dengan alasan meningkatkan keamanan." Browser Web
Menonaktifkannya Sendiri Sendiri
Untungnya, browser web melangkah untuk memperbaiki kelambanan Oracle. Bahkan jika Anda menginstal plug-in dan browser Java, Chrome dan Firefox tidak akan memuat konten Java secara default. Mereka menggunakan "click-to-play" untuk konten Java.
Internet Explorer masih memuat konten Java secara otomatis. Internet Explorer telah membaik - akhirnya mulai memblokir kontrol ActiveX yang tidak aktif dan rentan bersamaan dengan "Windows 8.1 August Update"( alias Windows 8.1 Update 2) pada bulan Agustus 2014. Chrome dan Firefox telah melakukan ini lebih lama. Internet Explorer berada di belakang browser lain di sini - lagi.
Cara Nonaktifkan Java Plug-in
Semua orang yang membutuhkan Java terinstal setidaknya harus menonaktifkan plug-in dari Control Panel java. Dengan Java versi terbaru, Anda dapat menekan tombol Windows sekali untuk membuka menu Start atau Start screen, ketik "Java," dan kemudian klik shortcut "Configure Java".Pada tab Security, hapus centang pada opsi "Enable Java content in the browser".
Bahkan setelah Anda menonaktifkan plug-in, Minecraft dan aplikasi desktop lainnya yang bergantung pada Java akan berjalan baik-baik saja. Ini hanya akan memblokir applet Java yang disematkan di halaman web.
Ya, applet Java masih ada di alam bebas. Anda mungkin akan sering menemukan mereka di situs internal di mana beberapa perusahaan memiliki aplikasi kuno yang ditulis sebagai applet Java. Tapi applet Java adalah teknologi mati dan mereka menghilang dari web konsumen. Mereka seharusnya bersaing dengan Flash, tapi mereka kalah. Bahkan jika Anda membutuhkan Java, Anda mungkin tidak memerlukan plug-in.
Perusahaan atau pengguna sesekali yang membutuhkan plug-in browser Java harus masuk ke Panel Kontrol Java dan memilih untuk mengaktifkannya. Plug-in harus dianggap sebagai opsi kompatibilitas lawas.