15Sep

Oracle kan inte säkra Java Plug-in, så varför är det fortfarande aktiverat som standard?

Java ansvarade för 91 procent av alla datorkompromisser 2013. De flesta använder inte bara Java-pluginprogrammet - de använder en utdaterad, sårbar version. Hej, Oracle - det är dags att avaktivera plugin-programmet som standard.

Oracle vet att situationen är en katastrof. De har gett upp på säkerhetspluggen för Java-plugin, ursprungligen utformad för att skydda dig från skadliga Java-appletter. Java-appletter på webben får fullständig åtkomst till ditt system med standardinställningarna.

Java-webbläsarens plugin är en komplett katastrof

Försvarare av Java tenderar att klaga när webbplatser som våra skriver att Java är extremt osäkert."Det är bara webbläsarens plugin," säger de - erkänner hur trasigt det är. Men den osäkra webbläsareinställningen är som standard aktiverad i varje enskild installation av Java där ute. Statistiken talar för sig själva.Även här på How-To Geek har 95 procent av våra icke-mobila besökare aktiverat Java-plugin-programmet. Och vi är en webbplats som fortsätter att berätta för våra läsare att avinstallera Java eller åtminstone inaktivera pluginprogrammet.

Studier visar hela tiden att majoriteten av datorer med Java installerat har en föråldrad Java-plug-in tillgänglig för skadliga webbplatser att rasa.År 2013 visade en undersökning av Websense Security Labs att 80 procent av datorerna hade out-of-date, sårbara versioner av Java.Även de mest välgörande studierna är skrämmande - de brukar hävda att mer än 50 procent av Java-plugin-programmen är out-of-date.

I 2014 uppgav Ciscos årliga säkerhetsrapport att 91 procent av alla attacker år 2013 var emot Java. Oracle försöker till och med att dra fördel av detta problem genom att kombinera den hemska Ask Toolbar och annan junkware med Java-uppdateringar. Var snäll och använd Oracle.

Oracle Gav upp på Java Plug-in Sandboxing

Java-plugin-programmet kör ett Java-program - eller "Java-applet" - inbäddad på en webbsida, som hur Adobe Flash fungerar. Eftersom Java är ett komplext språk som används för allt från stationära applikationer till serverns programvara, var pluginprogrammet ursprungligen utformat för att köra dessa Java-program i en säker sandlåda. Detta skulle förhindra att de gör otäcka saker i ditt system, även om de försökte.

Det är alltså teorin. I praktiken finns det en till synes oändlig ström av sårbarheter som gör det möjligt för Java-applet att fly från sandlådan och springa runt hårddisken över ditt system.

Oracle inser att sandlådan är i grunden brutet, så sandlådan är nu i stort sett död. De har gett upp det. Som standard kommer Java inte längre att köra "osignerade" appletter. Körning av osignerade applets bör inte vara ett problem om säkerhetssandboxen var trovärdig - det är därför det generellt inte är något problem att köra allt Adobe Flash-innehåll som du hittar på webben.Även om det finns sårbarheter i Flash, är de lätta och Adobe ger inte upp Flash-sandboxning.

Som standard laddar Java endast signerade appletter. Det låter bra, som en bra säkerhetsförbättring. Det finns dock en allvarlig konsekvens här. När en Java-applet är signerad anses den vara "betrodd" och den använder inte sandlådan. Som Java: s varningsmeddelande säger det:

"Denna applikation kommer att köras med obegränsad åtkomst, vilket kan riskera din dator och personuppgifter."

Även Oracles egen Java-versionskontrollapplet - En enkel liten applet som kör Java för att kontrollera din installerade version ochberättar om du behöver uppdatera - kräver denna fullständiga systemåtkomst. Det är helt vansinnigt.

Med andra ord, Java har verkligen gett upp på sandlådan. Som standard kan du heller inte köra en Java-applet eller köra den med fullständig åtkomst till ditt system. Det finns inget sätt att använda sandlådan om du inte justerar Java-säkerhetsinställningarna. Sandboxen är så otroligt att varje bit av Java-kod du stöter på online behöver full tillgång till ditt system. Du kan lika bra bara ladda ner ett Java-program och köra det istället för att förlita dig på plug-inen för webbläsaren, som inte erbjuder den extra säkerhet det ursprungligen var avsedd att tillhandahålla.

Som en Java-utvecklare förklarade: "Oracle avsiktligt avlivar Java-säkerhetssandboxen med förhoppning om att förbättra säkerheten."

-webbläsare inaktiverar det på egen hand

Tack och lov går webbläsare in för att åtgärda Oracles inaktivitet.Även om du har Java-pluginprogrammet installerat och aktiverat, kommer Chrome och Firefox inte att ladda Java-innehåll som standard. De använder "click-to-play" för Java-innehåll.

Internet Explorer laddar fortfarande automatiskt Java-innehåll. Internet Explorer har förbättrats något - det började äntligen blockera out-of-date, sårbara ActiveX-kontroller tillsammans med "Windows 8.1 August Update"( även Windows 8.1 Update 2) i augusti 2014. Chrome och Firefox har gjort det här mycket längre. Internet Explorer ligger bakom andra webbläsare här - igen.

Så här inaktiverar du Java-plugin-modulen

Alla som behöver Java installerade borde åtminstone inaktivera plugin-modulen från java Control Panel. Med de senaste versionerna av Java kan du trycka på Windows-tangenten en gång för att öppna Start-menyn eller Start-skärmen, skriv "Java" och klicka sedan på "Konfigurera Java" -genvägen. På fliken Säkerhet, avmarkera alternativet "Aktivera Java-innehåll i webbläsaren".

Även efter att du inaktiverat plugin-programmet, kommer Minecraft och alla andra skrivbordsprogram som beror på Java, att gå bra. Detta kommer bara att blockera Java-appletter inbäddade på webbsidor.

Ja, Java-applets finns fortfarande i det vilda. Du hittar dem troligtvis oftast på interna webbplatser där ett företag har en gammal applikation som skrivs som en Java-applet. Men Java-appletter är en död teknik och de försvinner från konsumentwebben. De skulle konkurrera med Flash, men de förlorade.Även om du behöver Java behöver du nog inte pluginprogrammet.

Det tillfälliga företaget eller användaren som behöver Java-pluginprogrammet måste gå till Java: s kontrollpanel och välja att aktivera det. Plugin-programmet ska betraktas som ett äldre kompatibilitetsalternativ.