15Sep
Java była odpowiedzialna za 91 procent wszystkich kompromisów komputerowych w 2013 r. Większość osób nie tylko ma włączoną wtyczkę Java - używa nieaktualnej, wrażliwej wersji. Hej, Oracle - nadszedł czas, aby wyłączyć tę wtyczkę domyślnie.
Oracle wie, że sytuacja jest katastrofą.Zrezygnowano z piaskownicy bezpieczeństwa Java plug-in, zaprojektowanej pierwotnie w celu ochrony przed złośliwymi apletami Java. Aplety Java w Internecie uzyskują pełny dostęp do systemu z domyślnymi ustawieniami.
Wtyczka Java Browser to kompletna katastrofa
Obrońcy Javy często skarżą się, gdy witryny takie jak nasza piszą, że Java jest wyjątkowo niepewna."To tylko wtyczka do przeglądarki", mówią - potwierdzając, jak jest zepsute. Ale ta niezabezpieczona wtyczka przeglądarki jest domyślnie włączona w każdej instalacji Javy. Statystyki mówią same za siebie. Nawet tutaj, w How-To Geek, 95% naszych użytkowników niezmobilnych ma włączoną wtyczkę Java. A my jesteśmy stroną internetową, która mówi naszym czytelnikom, aby odinstalować Javę lub przynajmniej wyłączyć wtyczkę.
na całym świecie, badania wykazują, że większość komputerów z zainstalowaną Javą ma przestarzałą wtyczkę do przeglądarki Java dostępną dla złośliwych stron internetowych, które mogą niszczyć.W 2013 roku badanie Websense Security Labs wykazało, że 80 procent komputerów miało nieaktualne, wrażliwe wersje Javy. Nawet najbardziej charytatywne badania są przerażające - mają tendencję do twierdzenia, że ponad 50 procent wtyczek Java jest nieaktualnych.
W 2014 r. Roczny raport bezpieczeństwa Cisco stwierdził, że 91 procent wszystkich ataków w 2013 r. Było przeciwko Javie. Oracle próbuje nawet skorzystać z tego problemu, łącząc straszny Ask Toolbar i inne luki z aktualizacjami Java - bądźcie z klasą, Oracle.
Oracle uzyskało dostęp do piaskownicy wtyczki Java
Wtyczka Java uruchamia program Java - lub "aplet Java" - osadzony na stronie internetowej, podobny do działania Adobe Flash. Ponieważ Java jest złożonym językiem używanym do wszystkiego, od aplikacji desktopowych po oprogramowanie serwerowe, wtyczka została pierwotnie zaprojektowana do uruchamiania tych programów Java w bezpiecznym środowisku izolowanym. To uniemożliwiłoby im robienie nieprzyjemnych rzeczy w twoim systemie, nawet gdyby próbowali.
Taka jest teoria. W praktyce istnieje niekończący się strumień luk, który pozwala apletom Javy na ucieczkę z piaskownicy i przeprowadzanie szorstkiego przeszukiwania systemu.
Oracle zdaje sobie sprawę, że sandbox jest teraz w zasadzie uszkodzony, więc sandbox jest teraz w zasadzie martwy. Porzucili to. Domyślnie Java nie będzie już uruchamiać apletów "bez podpisu".Uruchomienie niepodpisanych apletów nie powinno stanowić problemu, jeśli bezpieczna strefa bezpieczeństwa jest godna zaufania - dlatego generowanie zawartości Adobe Flash w Internecie nie stanowi problemu. Nawet jeśli w oprogramowaniu Flash występują luki, są one naprawiane, a Adobe nie rezygnuje z sandboxingu Flasha.
Domyślnie Java ładuje tylko podpisane aplety. Brzmi nieźle, jak poprawa bezpieczeństwa. Istnieje jednak poważna konsekwencja. Kiedy aplet Javy jest podpisany, jest uznawany za "zaufany" i nie korzysta z piaskownicy. Jak pisze komunikat ostrzegawczy Java:
"Ta aplikacja będzie działać z nieograniczonym dostępem, co może narazić komputer i dane osobowe na niebezpieczeństwo."
Nawet własny aplet Oracle do sprawdzania wersji Java - prosty mały applet, który uruchamia Javę, aby sprawdzić zainstalowaną wersję imówi, czy musisz zaktualizować - wymaga tego pełnego dostępu do systemu. To całkowicie szalone.
Innymi słowy, Java naprawdę zrezygnowała z piaskownicy. Domyślnie nie można uruchamiać apletu Java ani uruchamiać go z pełnym dostępem do systemu. Nie ma możliwości korzystania z piaskownicy, chyba że dostosujesz ustawienia zabezpieczeń Java. Sandbox jest tak niewiarygodny, że każdy kawałek kodu Java, który napotkasz online, wymaga pełnego dostępu do twojego systemu. Równie dobrze można po prostu pobrać program Java i uruchomić go, zamiast polegać na wtyczce do przeglądarki, która nie oferuje dodatkowych zabezpieczeń, które pierwotnie zaprojektowano.
Jak wyjaśnił jeden z programistów Java: "Oracle celowo zabija sandbox bezpieczeństwa Java pod pretekstem poprawy bezpieczeństwa." Przeglądarki internetowe
wyłączają je na własną rękę
Na szczęście przeglądarki internetowe wkraczają, aby naprawić brak działania Oracle. Nawet jeśli masz zainstalowaną i włączoną wtyczkę Java przeglądarki, Chrome i Firefox domyślnie nie ładują treści Java. Używają one "kliknij, aby odtworzyć" dla treści Java.
Internet Explorer nadal automatycznie ładuje zawartość Java. Internet Explorer nieco się poprawił - w końcu zaczął blokować nieaktualne, wrażliwe formanty ActiveX wraz z "Aktualizacją Windows 8.1 sierpnia"( inaczej Windows 8.1 Update 2) w sierpniu 2014 r. Chrome i Firefox robią to znacznie dłużej. Internet Explorer znajduje się za innymi przeglądarkami tutaj - znowu.
Jak wyłączyć wtyczkę Java
Każdy, kto potrzebuje zainstalowanej Java, powinien przynajmniej wyłączyć wtyczkę z Panelu sterowania Java. W przypadku najnowszych wersji Javy możesz raz nacisnąć klawisz Windows, aby otworzyć menu Start lub ekran Start, wpisać "Java", a następnie kliknąć skrót "Konfiguruj Javę".Na karcie Zabezpieczenia usuń zaznaczenie opcji "Włącz opcję Java content w przeglądarce".
Nawet po wyłączeniu wtyczki, Minecraft i każda inna aplikacja na komputer, która zależy od Javy, będzie działała dobrze. Spowoduje to tylko zablokowanie apletów Java osadzonych na stronach internetowych.
Tak, aplety Java nadal istnieją w środowisku naturalnym. Prawdopodobnie znajdziesz je najczęściej na wewnętrznych stronach, gdzie niektóre firmy mają starą aplikację napisaną jako aplet Javy. Ale aplety Java są martwą technologią i znikają z sieci konsumenckiej. Miały konkurować z Flash, ale przegrały. Nawet jeśli potrzebujesz Java, prawdopodobnie nie potrzebujesz wtyczki.
Od czasu do czasu firma lub użytkownik, który potrzebuje wtyczki przeglądarki Java, powinien przejść do panelu sterowania Java i włączyć tę opcję.Wtyczkę należy uznać za starszą opcję zgodności.