15Sep
Java zodpovedalo za 91 percent všetkých počítačových kompromisov v roku 2013. Väčšina ľudí má nielen povolený plug-in prehliadača Java - používajú zastaranú verziu. Hej, Oracle - je čas, aby ste predvolene zablokovali tento doplnok.
Oracle vie, že situácia je katastrofa. Opustili bezpečnostné karantény Java plug-in, ktoré boli pôvodne navrhnuté tak, aby vás chránili pred škodlivými aplety Java. Java applety na webe získajú úplný prístup do vášho systému s predvolenými nastaveniami.
Plug-in Java prehliadača je úplná katastrofa
Obhajcovia Java majú tendenciu sťažovať sa vždy, keď stránky ako naše písať, že Java je veľmi neistá."To je len plug-in prehliadača," hovoria - uznávajú, aké rozbité to je. Ale tento neistý plug-in prehliadača je v predvolenom nastavení povolený v každej jednotlivej inštalácii Java.Štatistiky hovoria samé za seba. Dokonca aj tu v službe How-To Geek má 95% našich návštevníkov, ktorí nemajú mobilný telefón, povolený doplnok Java. A my sme webová stránka, ktorá stále informuje našich čitateľov o odinštalovaní Java alebo aspoň o vypnutí doplnku.Štúdie
na celom svete ukazujú, že väčšina počítačov s nainštalovaným jazykom Java má k dispozícii zlomok prehliadača Java pre škodlivé webové stránky. V roku 2013 štúdie spoločnosti Websense Security Labs ukázali, že 80 percent počítačov malo zastarané verzie Java. Dokonca aj najviac charitatívne štúdie sú desivé - majú tendenciu tvrdiť, že viac ako 50 percent Java plug-inov je zastaraných.
V roku 2014 výročná bezpečnostná správa spoločnosti Cisco uviedla, že 91% všetkých útokov v roku 2013 bolo proti Javu. Oracle sa dokonca pokúša využiť tento problém spojením strašného nástroja Ask Toolbar a iných junkware s aktualizáciami Java - zostať klasický, Oracle.
Oracle Gave Up na puzdrá Java Plug-in
Plug-in Java spúšťa Java program - alebo "Java applet" - vložený na webovej stránke podobne ako funguje Adobe Flash. Pretože Java je zložitý jazyk používaný pre všetko od desktopových aplikácií až po serverový softvér, plug-in bol pôvodne určený na spustenie týchto programov Java v bezpečnom karanténe. Tým by im zabránili v tom, aby robili do vášho systému škaredé veci, aj keď sa o to pokúsili.
To je teória, tak ako tak. V praxi existuje zdanlivo nekonečný prúd zraniteľných miest, ktoré umožňujú Java appletom uniknúť z pieskoviska a spustiť nerovnosť vášho systému.
Oracle si uvedomuje, že pieskovisko je teraz v podstate zlomené, takže pieskovisko je teraz v podstate mŕtve. Opustili to. V predvolenom nastavení program Java už nespustí "nepodpísané" applety. Spúšťanie nepodpísaných appletov by nemalo byť problémom, ak je karanténa zabezpečenia dôveryhodná. Preto vo všeobecnosti nie je problém spustiť ľubovoľný obsah Adobe Flash, ktorý nájdete na webe. Dokonca aj v prípade, že v aplikácii Flash existujú zraniteľné miesta, sú opravené a spoločnosť Adobe sa nevzdáva sandboxu spoločnosti Flash.
V predvolenom nastavení bude Java načítať iba podpísané applety. Znie to dobre, ako dobré zlepšenie bezpečnosti. Je tu však vážny dôsledok. Keď je applet Java podpísaný, považuje sa to za dôveryhodný a nepoužíva karanténu. Ako to varovná správa Java hovorí:
"Táto aplikácia bude fungovať s neobmedzeným prístupom, ktorý môže ohroziť váš počítač a osobné informácie."
Dokonca aj vlastná verzia Oracle verifikácia verzie Java - jednoduchý malý applet, ktorý spúšťa Java, aby skontroloval inštalovanú verziu avám povie, či potrebujete aktualizovať - vyžaduje tento úplný prístup k systému. To je úplne šialené.
Inými slovami, Java sa skutočne vzdal na pieskovisku.Štandardne nemôžete spustiť aplet Java alebo ho spustiť s plným prístupom do vášho systému. Neexistuje žiadny spôsob, ako používať karanténu, pokiaľ nestlačíte nastavenia zabezpečenia Java. Pieskovisko je tak nedôveryhodné, že každý bit kódu Java, ktorý narazíte online, potrebuje plný prístup k vášmu systému. Môžete si tiež stiahnuť program Java a spustiť ho namiesto toho, aby ste sa spoliehal na doplnok prehliadača, ktorý neponúka dodatočné zabezpečenie, ktoré bolo pôvodne určené na poskytovanie.
Ako jeden vývojár Java vysvetlil: "Oracle úmyselne zabíja bezpečnostné karantény Java pod zámienkou zvýšenia bezpečnosti." Webové prehliadače
ju zakazujú na vlastnú päsť
Našťastie webové prehliadače vstupujú do riešenia nečinnosti spoločnosti Oracle. Dokonca aj v prípade, že máte nainštalovaný a povolený doplnok pre prehliadač Java, prehliadač Chrome a Firefox nebudú v predvolenom nastavení načítavať obsah Java. Na obsah Java používajú "kliknutie na prehrávanie".
Internet Explorer stále načíta automaticky obsah Java. Internet Explorer sa mierne zlepšil - v auguste 2014 začal blokovať zastarané ovládacie prvky ActiveX spolu s "Aktualizáciou Windows 8.1 augusta"( podobne ako Windows 8.1 Aktualizácia 2). Chrome a Firefox to robí oveľa dlhšie, Program Internet Explorer je za ostatnými prehliadačmi - znova.
Ako zakázať modul Java Plug-in
Každý, kto potrebuje nainštalovanú Java, by mal aspoň vypnúť plug-in z ovládacieho panela java. S najnovšími verziami jazyka Java môžete klepnutím na tlačidlo Windows otvoriť ponuku Štart alebo Štart, zadajte "Java" a potom kliknite na odkaz "Konfigurovať jazyk Java".Na karte Zabezpečenie zrušte začiarknutie políčka "Povoliť obsah Java v prehliadači".
Dokonca aj po vypnutí doplnku Minecraft a všetky ostatné desktopové aplikácie, ktoré závisia od jazyka Java, budú fungovať správne. Toto zablokuje iba Java applety vložené na webových stránkach.
Áno, Java applety stále existujú vo voľnej prírode. Pravdepodobne ich nájdete najčastejšie na interných stránkach, kde má niektorá spoločnosť starú aplikáciu napísanú ako applet Java. Ale applety Java sú mŕtvou technológiou a z internetovej stránky spotrebiteľov zaniknú.Mali by konkurovať Flashu, ale stratili. Aj keď potrebujete Java, pravdepodobne nepotrebujete plug-in.
Príležitostná firma alebo používateľ, ktorý potrebuje plug-in prehliadača Java, by mal prejsť do ovládacieho panela Java a zvoliť ho. Plug-in by mal byť považovaný za staršiu možnosť kompatibility.