Java war für 91 Prozent aller verantwortlichIn den meisten Fällen ist nicht nur das Java-Browser-Plug-in aktiviert, sondern es wird auch eine veraltete, anfällige Version verwendet. Hey, Oracle - es ist Zeit, dieses Plug-In standardmäßig zu deaktivieren.
Oracle weiß, dass die Situation eine Katastrophe ist. Sie haben die Sicherheits-Sandbox des Java-Plug-Ins aufgegeben, die ursprünglich zum Schutz vor böswilligen Java-Applets entwickelt wurde. Java-Applets im Web erhalten mit den Standardeinstellungen vollständigen Zugriff auf Ihr System.
Das Java-Browser-Plug-in ist eine vollständige Katastrophe
Verteidiger von Java neigen dazu, sich zu beschweren, wenn Websitesso wie wir schreiben, dass Java extrem unsicher ist. "Das ist nur das Browser-Plug-in", sagen sie und bestätigen, dass es kaputt ist. Dieses unsichere Browser-Plug-In ist jedoch standardmäßig in jeder einzelnen Java-Installation aktiviert. Die Statistiken sprechen für sich. Selbst hier bei How-To Geek haben 95 Prozent unserer nicht-mobilen Besucher das Java-Plug-In aktiviert. Und wir sind eine Website, die unsere Leser dazu auffordert, Java zu deinstallieren oder zumindest das Plug-in zu deaktivieren.
Studien im Internet zeigen immer wieder, dass dieAuf den meisten Computern, auf denen Java installiert ist, ist ein veraltetes Java-Browser-Plug-In verfügbar, mit dem böswillige Websites verwüstet werden können. Im Jahr 2013 ergab eine Studie von Websense Security Labs, dass 80 Prozent der Computer über veraltete, anfällige Java-Versionen verfügten. Selbst die gemeinnützigsten Studien sind beängstigend - sie behaupten, dass mehr als 50 Prozent der Java-Plug-Ins veraltet sind.
In dem jährlichen Sicherheitsbericht von Cisco von 2014 heißt es 91Prozent aller Angriffe im Jahr 2013 waren gegen Java. Oracle versucht sogar, dieses Problem auszunutzen, indem es die schreckliche Ask Toolbar und andere Junkware mit Java-Updates bündelt. Bleiben Sie auf dem Laufenden, Oracle.
Oracle hat das Sandboxing des Java-Plug-ins aufgegeben
Das Java-Plug-In führt ein Java-Programm aus - oder „JavaApplet “- eingebettet in eine Webseite, ähnlich wie in Adobe Flash. Da Java eine komplexe Sprache ist, die von Desktopanwendungen bis hin zur Serversoftware verwendet wird, wurde das Plug-In ursprünglich entwickelt, um diese Java-Programme in einer sicheren Sandbox auszuführen. Dies würde verhindern, dass sie Ihrem System böse Dinge antun, selbst wenn sie es versuchen.
Das ist jedenfalls die Theorie. In der Praxis gibt es einen scheinbar endlosen Schwachstellenstrom, der es Java-Applets ermöglicht, aus der Sandbox auszusteigen und über Ihr System hinwegzuarbeiten.
Oracle erkennt, dass die Sandbox nun im Grunde genommen istkaputt, daher ist der Sandkasten jetzt im Grunde tot. Sie haben es aufgegeben. Standardmäßig führt Java keine nicht signierten Applets mehr aus. Das Ausführen von nicht signierten Applets sollte kein Problem sein, wenn die Sicherheits-Sandbox vertrauenswürdig ist. Daher ist es im Allgemeinen kein Problem, Adobe Flash-Inhalte im Web auszuführen. Auch wenn es in Flash Schwachstellen gibt, diese sind behoben und Adobe gibt das Sandboxing von Flash nicht auf.
Standardmäßig lädt Java nur signierte Applets. Das hört sich gut an, wie eine gute Sicherheitsverbesserung. Dies hat jedoch schwerwiegende Konsequenzen. Wenn ein Java-Applet signiert ist, gilt es als "vertrauenswürdig" und verwendet die Sandbox nicht. In der Warnmeldung von Java heißt es:
"Diese Anwendung wird mit uneingeschränktem Zugriff ausgeführt, wodurch Ihr Computer und Ihre persönlichen Daten gefährdet werden können."
Sogar das Java-Versionsprüfungs-Applet von Oracle - aEin einfaches kleines Applet, das Java ausführt, um Ihre installierte Version zu überprüfen und Ihnen mitzuteilen, ob ein Update erforderlich ist - erfordert diesen vollständigen Systemzugriff. Das ist völlig verrückt.
Mit anderen Worten, Java hat es wirklich aufgegebenSandkasten. Standardmäßig können Sie entweder kein Java-Applet ausführen oder es mit vollem Zugriff auf Ihr System ausführen. Sie können die Sandbox nur verwenden, wenn Sie die Sicherheitseinstellungen von Java anpassen. Die Sandbox ist so unzuverlässig, dass jeder Java-Code, dem Sie online begegnen, uneingeschränkten Zugriff auf Ihr System benötigt. Sie können auch einfach ein Java-Programm herunterladen und ausführen, anstatt sich auf das Browser-Plug-in zu verlassen, das nicht die zusätzliche Sicherheit bietet, für die es ursprünglich entwickelt wurde.
Wie ein Java-Entwickler erklärte: "Oracle tötet absichtlich die Java-Sicherheits-Sandbox unter dem Vorwand, die Sicherheit zu verbessern."
Webbrowser deaktivieren es selbstständig
Zum Glück greifen Webbrowser ein, um Abhilfe zu schaffenUntätigkeit von Oracle. Auch wenn Sie das Java-Browser-Plug-in installiert und aktiviert haben, laden Chrome und Firefox standardmäßig keine Java-Inhalte. Sie verwenden "Click-to-Play" für Java-Inhalte.
Der Internet Explorer lädt immer noch automatisch JavaInhalt. Der Internet Explorer hat sich etwas verbessert - er hat endlich begonnen, veraltete, anfällige ActiveX-Steuerelemente zusammen mit dem „Windows 8.1 August Update“ (auch bekannt als Windows 8.1 Update 2) im August 2014 zu blockieren. Chrome und Firefox tun dies schon viel länger . Auch hier steht der Internet Explorer hinter anderen Browsern.
So deaktivieren Sie das Java-Plug-in
Jeder, der Java benötigt, sollte dies zumindest tunDeaktivieren Sie das Plug-In in der Java-Systemsteuerung. Bei neueren Java-Versionen können Sie einmal auf die Windows-Taste tippen, um das Startmenü oder den Startbildschirm zu öffnen, "Java" eingeben und dann auf die Verknüpfung "Java konfigurieren" klicken. Deaktivieren Sie auf der Registerkarte "Sicherheit" die Option "Java-Inhalte im Browser aktivieren".
Auch nach dem Deaktivieren des Plug-Ins funktionieren Minecraft und alle anderen von Java abhängigen Desktop-Anwendungen einwandfrei. Dies blockiert nur Java-Applets, die auf Webseiten eingebettet sind.
Ja, Java-Applets gibt es noch in freier Wildbahn. Sie werden sie wahrscheinlich am häufigsten auf internen Sites finden, auf denen ein Unternehmen eine alte Anwendung als Java-Applet geschrieben hat. Aber Java-Applets sind eine tote Technologie und verschwinden aus dem Consumer-Web. Sie sollten mit Flash konkurrieren, aber sie haben verloren. Auch wenn Sie Java benötigen, benötigen Sie das Plug-in wahrscheinlich nicht.
Die gelegentliche Firma oder der gelegentliche Benutzer, der die benötigtDas Java-Browser-Plug-In muss sich in der Java-Systemsteuerung befinden und aktiviert sein. Das Plug-In sollte als Legacy-Kompatibilitätsoption betrachtet werden.
