15Sep
Java bija atbildīga par 91 procentu visu datoru kompromisu. Lielākajai daļai cilvēku ir iespējots ne tikai Java pārlūkprogrammas spraudnis - tie izmanto novecojušo, neaizsargāto versiju. Hei, Oracle - ir pienācis laiks atspējot šo spraudni pēc noklusējuma.
Oracle zina, ka situācija ir katastrofa. Viņi ir atteikušies uz Java spraudņu drošības sīklietotni, kas sākotnēji bija paredzēta, lai pasargātu jūs no ļaunprātīgām Java sīklietotnēm. Java applets tīmeklī iegūst pilnīgu piekļuvi jūsu sistēmai ar noklusējuma iestatījumiem.
Java pārlūkprogrammas spraudnis ir pilnīga katastrofa.
Java aizstāvji mēdz sūdzēties, kad vietnes, piemēram, mūsu, raksta, ka Java ir ārkārtīgi nedroša."Tas ir tikai pārlūkprogrammas spraudnis," viņi saka - atzīstot, cik tā ir salauzta. Bet tas nedrošs pārlūka spraudnis ir iespējots pēc noklusējuma katrā Java instalācijā, kas tur atrodas. Statistika par sevi runā.Pat šeit, izmantojot How-To Geek, 95 procentiem no mūsu mobilajiem lietotājiem ir iespējots Java spraudnis. Un mēs esam vietne, kas liek mūsu lasītājiem atinstalēt Java vai vismaz atspējot spraudni.
visā pasaulē, pētījumi joprojām liecina, ka lielākajai daļai datoru ar instalētu Java ir novecojis Java pārlūkprogrammas spraudnis, kas pieejams ļaunprātīgām tīmekļa vietnēm.2013. gadā Websense Security Labs pētījums parādīja, ka 80 procentiem datoru bija novecojušas, neaizsargātas Java versijas. Pat visvairāk labdarības pētījumi ir biedējoši - viņi parasti apgalvo, ka vairāk nekā 50 procenti Java spraudņu ir novecojuši.
2014. gadā Cisco ikgadējā drošības ziņojumā teikts, ka 91% no visiem uzbrukumiem 2013. gadā bija Java. Oracle pat mēģina izmantot šo problēmu, apvienojot briesmīgo rīkjoslu un citu junkprogrammu ar Java atjauninājumiem - palikt stilīgs, Oracle.
Oracle atviegloja Java spraudņu smilškastēšanā
Java spraudnis palaiž kādu Java programmu vai "Java apletu", kas iekļauts tīmekļa vietnē, līdzīgi kā darbojas Adobe Flash. Tā kā Java ir sarežģīta valoda, ko izmanto visam, sākot no darbvirsmas lietojumprogrammām līdz servera programmatūrai, sākotnējais spraudnis bija paredzēts, lai palaistu šīs Java programmas drošā sandbox. Tas neļautu viņiem veikt nejaukas lietas jūsu sistēmai, pat ja viņi to izmēģinātu.
Tā ir teorija. Praksē pastāv šķietami nebeidzama neaizsargātības plūsma, kas ļauj Java lietojumprogrammām izbēgt no smilškastes un palaist roughshod pār jūsu sistēmu.
Oracle apzinās, ka smilškastes pašlaik ir bojāta, tāpēc smilšu kaste tagad būtībā ir mirusi. Viņi to atteica. Pēc noklusējuma Java vairs nedarbos neparakstītas appletus. Neparakstītu apletu darbībai nevajadzētu būt problēmai, ja drošības sdroši būtu uzticama, tādēļ parasti nav problēmu, lai darbinātu jebkuru tīmeklī atrodamo Adobe Flash saturu. Pat ja Flash ir neaizsargātības, tie ir fiksēti un Adobe neatsakās no Flash smilškastēm.
Pēc noklusējuma Java ielādēs tikai parakstītas aples. Tas izklausās labi, tāpat kā labs drošības uzlabojums. Tomēr šeit ir nopietnas sekas. Kad Java aplets ir parakstīts, tas tiek uzskatīts par "uzticamu", un tajā nav izmantota smilškastes. Kā parādīts Java brīdinājuma ziņojumā:
"Šī lietojumprogramma darbosies ar neierobežotu piekļuvi, kas var radīt risku jūsu datoram un personiskajai informācijai."
Pat paša Oracle paša Java versiju pārbaude - tā ir vienkārša mazā aplete, kas palaiž Java, lai pārbaudītu jūsu instalēto versiju unstāsta, vai jums ir nepieciešams atjaunināt - nepieciešama šī pilna piekļuve sistēmai. Tas ir pilnīgi neprātīgs.
Citiem vārdiem sakot, Java patiešām ir atteikusies no smilškastes. Pēc noklusējuma varat vai nu palaist Java programmu vai palaist to ar pilnu piekļuvi jūsu sistēmai. Nav iespējams izmantot smilškastes, ja vien jūs nedzerat Java drošības iestatījumus. Sandbox ir tik nedrošs, ka katram Java kodam, ar kuru saskaras tiešsaistē, ir vajadzīga pilna piekļuve jūsu sistēmai. Varat arī vienkārši lejupielādēt Java programmu un palaist to, nevis atsaukties uz pārlūkprogrammas spraudni, kas nepiedāvā papildu drošību, kuru tā sākotnēji bija paredzēta.
Kā viens Java izstrādātājs paskaidroja: "Oracle tīši nogalina no Java drošības smilškastes saskaņā ar pretenziju, lai uzlabotu drošību."
Web pārlūkprogrammas to atspējojot paši
Par laimi, Web pārlūkprogrammas ir iestrēdzis, lai noteiktu Oracle bezdarbību. Pat ja jums ir instalēta un iespējota Java pārlūkprogrammas spraudnis, Chrome un Firefox pēc noklusējuma neielādēt Java saturu. Viņi izmanto "noklikšķini, lai atskaņotu" Java saturam.
Internet Explorer joprojām automātiski ielādē Java saturu. Internet Explorer ir nedaudz uzlabojies - tā beidzot sāka bloķēt novecojušās, neaizsargātās ActiveX vadīklas kopā ar "Windows 8.1 augusta atjauninājumu"( tāpat kā Windows 8.1 atjauninājumu 2) 2014. gada augustā. Chrome un Firefox to ir darījušas daudz ilgāk. Internet Explorer atrodas aiz pārējiem pārlūkiem šeit - atkal.
Kā atspējot Java spraudni
Visiem, kam ir instalēta Java, vismaz vajadzētu atspējot spraudni no java Control Panel. Izmantojot jaunākās Java versijas, varat vienu reizi piesitiet Windows taustiņam, lai atvērtu izvēlni Sākt vai Sākt ekrānu, ierakstiet "Java" un pēc tam noklikšķiniet uz saīsnes "Konfigurēt Java".Cilnē Drošība noņemiet atzīmi no opcijas "Iespējot Java saturu pārlūkprogrammā".
Pat pēc tam, kad atspējojat spraudni, Minecraft un jebkurš cits darbvirsmas lietojumprogramma, kas ir atkarīga no Java, darbosies tikai labi. Tas tikai bloķēs Java programmas, kas iegultas tīmekļa lapās.
Jā, Java paletes joprojām pastāv savvaļā.Iespējams, ka tos visbiežāk atrodat iekšējās vietnēs, kurās kādam uzņēmumam ir sena programma, kas rakstīta kā Java sīklietotne. Taču Java sīklietotnes ir mirušas tehnoloģijas, un tās izzūd no patērētāju tīkla. Viņi bija sacensties ar Flash, bet viņi zaudēja. Pat ja jums ir Java, iespējams, nav nepieciešams spraudnis.
Reizēm uzņēmumam vai lietotājam, kuram nepieciešams Java pārlūkprogrammas spraudnis, vajadzētu iekļūt Java vadības panelī un izvēlēties tā iespējošanu. Plug-in ir jāuzskata par mantoto saderības iespēju.