15Sep
Java je bil odgovoren za 91 odstotkov vseh računalniških kompromisov v letu 2013. Večina ljudi ne podpira samo vtičnika za brskalnik Java - uporabljajo zastarelo in ranljivo različico. Hej, Oracle - čas je, da to vtičnico onemogočite privzeto.
Oracle ve, da je stanje nesreča. Zavrnili so varnostni peskovnik Java plug-in, ki je bil prvotno namenjen zaščiti pred zlonamernimi aplikacijami Java. Java apleti v spletu dobijo popoln dostop do vašega sistema s privzetimi nastavitvami.
Java Browser Plug-in je popolna nesreča
Defenders of Java se nagibajo k pritožbi, kadar mesta, kot je naša, zapisujejo, da je Java zelo negotova."To je samo vtičnik za brskalnik", pravijo - priznavajo, kako je zlomljen. Toda ta nezanesljiv vtičnik za brskalnik je privzeto omogočen v vsaki namestitvi Java. Statistika govori zase. Tudi tukaj pri How-To Geeku je 95% naših ne-mobilnih obiskovalcev omogočilo vtičnik Java. In mi smo spletno mesto, ki svojim bralcem ponavlja, naj odstranijo Java ali vsaj onemogočijo vtičnik.
po vsem svetu, študije še vedno kažejo, da ima večina računalnikov z nameščenim Java zastarele brskalnike Java za zlonamerne spletne strani. V letu 2013 je študija podjetja Websense Security Labs pokazala, da ima 80 odstotkov računalnikov zastarele in občutljive različice Java. Tudi najbolj dobrodelne študije so zastrašujoče - ponavadi zahtevajo več kot 50 odstotkov vtičnikov Java zastarelo.
Leta 2014 je Ciscoovo letno poročilo o varnosti izjavilo, da je bilo 91 odstotkov vseh napadov v letu 2013 proti Javi. Oracle celo poskuša izkoristiti to težavo tako, da združuje grozno orodno vrstico za povpraševanje in drugo junkware z novimi posodobitvami Java - ostati classy, Oracle.
Oracle se je odzval na Javabox plug-in's Sandboxing
Plug-in Java zažene program Java - ali "Java applet" - vdelan na spletno stran, podobno kot deluje Adobe Flash. Ker je Java kompleksen jezik, ki se uporablja za vse, od namiznih aplikacij do strežniške programske opreme, je bil prvotno zasnovan za zagon teh programov Java v varnem peskovniku. To bi jim preprečilo, da bi v vaš sistem delali grdo stvari, čeprav so poskusili.
To je vsekakor teorija. V praksi obstaja na videz neverjeten tok ranljivosti, ki omogoča aplikacijam Java, da pobegnejo iz peskovnika in da tečejo na vašem sistemu.
Oracle se zaveda, da je peskovnik v bistvu prekinjen, zato je peskovnik v bistvu mrtev. Zavrnili so se. Privzeto Java ne bo več zagnala »nepodpisanih« apletov. Izvajanje nepodpisanih aplikacij ne bi smelo biti problem, če bi bila varnostna peskovnik zaupanja vredna - zato na splošno sploh ni težko zagnati vsebine Adobe Flash, ki jo najdete v spletu. Tudi če v Flashju obstajajo ranljivosti, so jih popravili in Adobe se ne odreče za Sandboxing v Flashu.
Privzeto bo Java naložila le podpisane aplete. To se sliši dobro, kot dobro izboljšanje varnosti. Vendar pa obstaja resna posledica tukaj. Ko je podpisan Java applet, se šteje za "zaupanja vreden" in ne uporablja peskovnika. Kot opozorilno sporočilo Java navaja:
"Ta program bo deloval z neomejenim dostopom, ki lahko ogrozi vaš računalnik in osebne podatke."
Tudi Oracleova lastna različica Java preverja applet - preprost mali applet, ki izvaja Java, da preveri svojo nameščeno različico invam pove, ali morate posodobiti - zahteva ta popoln sistemski dostop. To je popolnoma noro.
Z drugimi besedami, Java res je odstopila na peskovniku. Po privzetku ne morete zagnati niti Java-ja niti ga zagnati s polnim dostopom do vašega sistema.Če uporabljate varnostne nastavitve Java, ne morete uporabljati peskovnika. Peskovnik je tako nezaupljiv, da vsak kode Java, s katerim se srečujete, potrebuje poln dostop do vašega sistema. Morda boste prav tako prenesli program Java in ga zagnali, namesto da bi se zanašali na vtičnik brskalnika, ki ne ponuja dodatne varnosti, ki je bila prvotno namenjena za zagotavljanje.
Kot je eden od razvijalcev Java razložil: "Oracle namerno ubija varnostni peskovnik Java pod pretvezo izboljšanja varnosti." Spletni brskalniki
to onemogočajo na lastno
K sreči, spletni brskalniki poskušajo popraviti neukrepanje Oracle. Tudi če imate nameščen in omogočen vtičnik za brskalnik Java, Chrome in Firefox ne bodo naložili vsebine Java privzeto. Za vsebino Java uporabljajo "klik-za-predvajanje".
Internet Explorer še vedno samodejno naloži vsebino Java. Internet Explorer se je nekoliko izboljšal - končno je začel blokirati zastarele in ranljive kontrolnike ActiveX skupaj s posodobitvijo Windows 8.1 August( aka Windows 8.1 Update 2) avgusta 2014. Chrome in Firefox to počnejo veliko dlje. Internet Explorer stoji za drugimi brskalniki tukaj - znova.
Kako onemogočiti vtičnik Java
Vsakdo, ki potrebuje nameščeno Java, mora vsaj onemogočiti vtičnik z nadzorne plošče java. Z najnovejšimi različicami Java lahko enkrat pritisnete tipko Windows, da odprete meni »Start« ali »Začetni zaslon«, vnesite »Java« in nato kliknite bližnjico »Konfiguriraj Java«.Na kartici »Varnost« počistite možnost »Omogoči vsebino Java v brskalniku«.
Tudi po tem, ko onemogočite vtičnik, bo program Minecraft in katera koli druga namizna aplikacija, ki je odvisna od Java-ja, dobro vodena. S tem boste blokirali samo aplete Java, ki so vdelane na spletnih straneh.
Da, Java apleti še vedno obstajajo v naravi. Najverjetneje jih boste najverjetneje našli na notranjih mestih, kjer ima neko podjetje stara aplikacija, napisana kot aplavz Java. Toda Java apleti so mrtva tehnologija in izginjajo iz potrošniške mreže. Morali bi tekmovati z Flashom, vendar so izgubili. Tudi če potrebujete Java, verjetno ne potrebujete vtičnika.
Občasno podjetje ali uporabnik, ki potrebuje vtičnik za brskalnik Java, bi moral iti na nadzorno ploščo Java in se odločiti, da ga bo omogočil. Plug-in je treba obravnavati kot zapuščeno možnost združljivosti.
