15Sep
Java foi responsável por 91 por cento de todos os compromissos de computador em 2013. A maioria das pessoas não só possui o plug-in do navegador Java habilitado - eles estão usando uma versão vulnerável desatualizada. Ei, Oracle - é hora de desativar esse plug-in por padrão.
Oracle sabe que a situação é um desastre. Eles abandonaram o sandbox de segurança do plug-in Java, originalmente projetado para protegê-lo de miniaplicações Java mal-intencionadas. Os applets Java na web obtêm acesso completo ao seu sistema com as configurações padrão.
O Java Browser Plug-in é um desastre completo
Os defensores do Java tendem a se queixar sempre que sites como o nosso escrevem que o Java é extremamente inseguro."Esse é apenas o plug-in do navegador", dizem eles - reconhecendo como é quebrado. Mas esse plug-in de navegador inseguro é habilitado por padrão em cada instalação de Java lá fora. As estatísticas falam por si mesmas. Mesmo aqui no How-To Geek, 95 por cento dos nossos visitantes não móveis têm o plug-in Java ativado. E nós somos um site que continua dizendo aos nossos leitores para desinstalar o Java ou, pelo menos, desativar o plug-in.
em toda a Internet, os estudos continuam mostrando que a maioria dos computadores com Java instalados possui um plug-in de navegador Java desatualizado disponível para sites maliciosos para ravagar. Em 2013, um estudo realizado pela Websense Security Labs mostrou que 80 por cento dos computadores tinham versões vulneráveis e desactualizadas do Java. Mesmo os estudos mais caridosos são assustadores - eles tendem a reivindicar mais de 50% dos plug-ins de Java estão desactualizados.
Em 2014, o relatório anual de segurança da Cisco disse que 91% de todos os ataques em 2013 foram contra Java. O Oracle ainda tenta aproveitar esse problema juntando o terrível Ask Toolbar e outros junkware com atualizações Java - permaneça elegante, Oracle.
Oracle Gave Up no Javabox Plug-in Java
O Java plug-in executa um programa Java - ou "Java applet" - incorporado em uma página da Web, semelhante ao Adobe Flash funciona. Como o Java é um idioma complexo usado para tudo, desde aplicativos de desktop até software de servidor, o plug-in foi projetado originalmente para executar esses programas Java em um sandbox seguro. Isso evitaria que eles fizessem coisas desagradáveis ao seu sistema, mesmo que tentassem.
Essa é a teoria, de qualquer maneira. Na prática, há um fluxo de vulnerabilidades aparentemente interminável que permite que os applets Java escapem à sandbox e executem o roughshod em seu sistema.
A Oracle percebe que o sandbox agora está basicamente quebrado, então o sandbox agora está basicamente morto. Eles desistiram disso. Por padrão, o Java deixará de executar os applets "não assinados".A execução de applets não assinados não deve ser um problema se o sandbox de segurança fosse confiável - é por isso que geralmente não é um problema para executar qualquer conteúdo Adobe Flash que você encontra na web. Mesmo que haja vulnerabilidades no Flash, elas são corrigidas e a Adobe não desiste do sandboxing do Flash.
Por padrão, o Java só carregará applets assinados. Isso parece bom, como uma boa melhoria de segurança. No entanto, há uma consequência grave aqui. Quando um applet Java é assinado, é considerado "confiável" e não usa o sandbox. Como a mensagem de aviso do Java coloca:
"Este aplicativo será executado com acesso irrestrito que pode colocar seu computador e informações pessoais em risco."
Mesmo o próprio applet de verificação de versão Java da Oracle - um pequeno applet simples que executa o Java para verificar sua versão instalada ediz se você precisa atualizar - requer esse acesso total ao sistema. Isso é completamente insano.
Em outras palavras, o Java realmente desistiu do sandbox. Por padrão, você não pode executar um applet Java ou executá-lo com acesso total ao seu sistema. Não há como usar o sandbox a menos que você ajuste as configurações de segurança de Java. A caixa de areia é tão pouco confiável que todo o código Java que você encontra online precisa de acesso total ao seu sistema. Você também pode simplesmente baixar um programa Java e executá-lo ao invés de confiar no plug-in do navegador, o que não oferece a segurança adicional que foi originalmente projetada para fornecer.
Como um desenvolvedor Java explicou: "A Oracle está destruindo intencionalmente o sandbox de segurança Java sob o pretexto de melhorar a segurança." Os navegadores da Web
estão desabilitando o próprio
Felizmente, os navegadores da Web estão entrando para corrigir a inação da Oracle. Mesmo se você tiver o plug-in do navegador Java instalado e habilitado, o Chrome e o Firefox não carregarão o conteúdo Java por padrão. Eles usam "click-to-play" para conteúdo Java.
O Internet Explorer ainda carrega automaticamente conteúdo Java. O Internet Explorer melhorou um pouco - finalmente começou a bloquear os controles ActiveX vulneráveis desactualizados, juntamente com a "Atualização do Windows 8.1 agosto"( também conhecido como Windows 8.1 Update 2) em agosto de 2014. O Chrome e o Firefox estão fazendo isso por muito mais tempo. O Internet Explorer está atrás de outros navegadores aqui - novamente.
Como desativar o Java Plug-in
Todos os que precisam de Java instalado devem, pelo menos, desativar o plug-in do java Control Panel. Com versões recentes do Java, você pode tocar a tecla Windows uma vez para abrir o menu Iniciar ou a tela inicial, digite "Java" e, em seguida, clique no atalho "Configurar Java".Na guia Segurança, desmarque a opção "Ativar conteúdo Java no navegador".
Mesmo depois de desativar o plug-in, o Minecraft e qualquer outro aplicativo de desktop que dependa de Java funcionem corretamente. Isso só irá bloquear applets Java incorporados em páginas da web.
Sim, os applets Java ainda existem na natureza. Você provavelmente irá encontrá-los com mais freqüência em sites internos onde alguma empresa possui uma aplicação antiga escrita como um applet Java. Mas os applets Java são uma tecnologia inativa e estão desaparecendo da web de consumidores. Eles deveriam competir com o Flash, mas eles perderam. Mesmo que você precise de Java, você provavelmente não precisa do plug-in.
A empresa ocasional ou o usuário que precisa do plug-in do navegador Java deve ter que entrar no Painel de controle de Java e optar por habilitá-lo. O plug-in deve ser considerado uma opção de compatibilidade com o legado.