Java była odpowiedzialna za 91 procent wszystkichkompromisy komputerowe w 2013 roku. Większość ludzi ma nie tylko włączoną wtyczkę do przeglądarki Java - używają nieaktualnej, podatnej na ataki wersji. Hej, Oracle - czas domyślnie wyłączyć tę wtyczkę.
Oracle wie, że sytuacja jest katastrofą. Zrezygnowali z piaskownicy bezpieczeństwa wtyczki Java, pierwotnie zaprojektowanej w celu ochrony przed złośliwymi apletami Java. Aplety Java w Internecie uzyskują pełny dostęp do systemu z domyślnymi ustawieniami.
Wtyczka Java Browser to kompletna katastrofa
Obrońcy Java zwykle narzekają za każdym razem, gdy witrynytak jak my piszemy, że Java jest wyjątkowo niepewna. „To tylko wtyczka do przeglądarki” - mówią - przyznając, że jest zepsuta. Jednak ta niepewna wtyczka do przeglądarki jest domyślnie włączona w każdej instalacji Java. Statystyki mówią same za siebie. Nawet tutaj, w How-To Geek, 95 procent naszych użytkowników niemobilnych ma włączoną wtyczkę Java. Jesteśmy witryną, która stale informuje naszych czytelników, aby odinstalowali Javę lub przynajmniej wyłączyli wtyczkę.
Badania w Internecie pokazują, żewiększość komputerów z zainstalowaną Javą ma nieaktualną wtyczkę do przeglądarki Java dostępną do niszczenia złośliwych stron internetowych. W 2013 r. Badanie przeprowadzone przez Websense Security Labs wykazało, że 80 procent komputerów ma nieaktualne, wrażliwe wersje Javy. Nawet najbardziej charytatywne badania są przerażające - twierdzą, że ponad 50 procent wtyczek Java jest nieaktualnych.
W 2014 roku w rocznym raporcie bezpieczeństwa Cisco podano 91procent wszystkich ataków w 2013 r. był skierowany przeciwko Javie. Oracle próbuje nawet skorzystać z tego problemu, łącząc straszny pasek Ask Toolbar i inne śmieciowe oprogramowanie z aktualizacjami Java - zachowaj klasę, Oracle.
Oracle zrezygnował z piaskownicy wtyczki Java
Wtyczka Java uruchamia program Java - lub „Javaapplet ”- osadzony na stronie internetowej, podobny do działania Adobe Flash. Ponieważ Java jest złożonym językiem używanym do wszystkiego, od aplikacji komputerowych po oprogramowanie serwerowe, wtyczka została pierwotnie zaprojektowana do uruchamiania tych programów Java w bezpiecznym piaskownicy. Uniemożliwiłoby im to robienie nieprzyjemnych rzeczy w twoim systemie, nawet gdyby próbowali.
W każdym razie taka jest teoria. W praktyce istnieje pozornie niekończący się strumień luk, które umożliwiają apletom Java ucieczkę z piaskownicy i uruchamianie szorstkiego systemu.
Oracle zdaje sobie sprawę, że piaskownica jest teraz w zasadziezepsuty, więc piaskownica jest teraz praktycznie martwa. Zrezygnowali z tego. Domyślnie Java nie będzie już uruchamiać apletów „niepodpisanych”. Uruchamianie niepodpisanych apletów nie powinno stanowić problemu, jeśli bezpieczna piaskownica jest godna zaufania - dlatego generalnie nie jest problemem uruchamianie treści Adobe Flash, które można znaleźć w Internecie. Nawet jeśli we Flashu występują luki, są one naprawione, a Adobe nie poddaje się piaskownicowi Flash.
Domyślnie Java ładuje tylko podpisane aplety. Brzmi nieźle, jak dobra poprawa bezpieczeństwa. Istnieje jednak poważna konsekwencja. Kiedy aplet Java jest podpisany, jest uważany za „zaufany” i nie korzysta z piaskownicy. Jak mówi komunikat ostrzegawczy Java:
„Ta aplikacja będzie działać z nieograniczonym dostępem, co może stanowić zagrożenie dla komputera i danych osobowych.”
Nawet własny aplet sprawdzania wersji Java Oracle - aprosty aplet, który uruchamia Javę w celu sprawdzenia zainstalowanej wersji i informuje o konieczności aktualizacji - wymaga pełnego dostępu do systemu. To jest całkowicie szalone.
Innymi słowy, Java naprawdę zrezygnowała zpiaskownica. Domyślnie nie można uruchomić apletu Java ani uruchomić go z pełnym dostępem do systemu. Nie ma możliwości korzystania z piaskownicy, chyba że poprawisz ustawienia bezpieczeństwa Javy. Piaskownica jest tak niewiarygodna, że każdy fragment kodu Java napotkany w Internecie wymaga pełnego dostępu do systemu. Równie dobrze możesz po prostu pobrać program Java i uruchomić go, zamiast polegać na wtyczce przeglądarki, która nie zapewnia dodatkowych zabezpieczeń, które pierwotnie zaprojektowano.
Jak wyjaśnił jeden z programistów Java: „Oracle celowo zabija piaskownicę bezpieczeństwa Java pod pozorem poprawy bezpieczeństwa”.
Przeglądarki internetowe wyłączają je same
Na szczęście przeglądarki internetowe wkraczają, aby to naprawićBezczynność Oracle. Nawet jeśli masz zainstalowaną i włączoną wtyczkę do przeglądarki Java, Chrome i Firefox domyślnie nie ładują treści Java. Używają „kliknij, aby odtworzyć” w przypadku treści Java.
Internet Explorer nadal automatycznie ładuje Javęzawartość. Internet Explorer nieco się poprawił - w końcu zaczął blokować nieaktualne, wrażliwe formanty ActiveX wraz z „Windows 8.1 August Update” (inaczej Windows 8.1 Update 2) w sierpniu 2014 roku. Chrome i Firefox robią to znacznie dłużej . Internet Explorer stoi za innymi przeglądarkami - znowu.
Jak wyłączyć wtyczkę Java
Każdy, kto potrzebuje zainstalowanej Java, powinien przynajmniejwyłącz wtyczkę z panelu sterowania Java. W najnowszych wersjach Java możesz stuknąć raz klawisz Windows, aby otworzyć menu Start lub ekran Start, wpisać „Java”, a następnie kliknąć skrót „Konfiguruj Javę”. Na karcie Zabezpieczenia odznacz opcję „Włącz zawartość Java w przeglądarce”.
Nawet po wyłączeniu wtyczki Minecraft i dowolna inna aplikacja komputerowa zależna od Javy będzie działać poprawnie. Spowoduje to zablokowanie tylko apletów Java osadzonych na stronach internetowych.
Tak, aplety Java nadal istnieją na wolności. Prawdopodobnie znajdziesz je najczęściej na wewnętrznych stronach, na których pewna firma ma starożytną aplikację napisaną jako aplet Java. Ale aplety Java są martwą technologią i znikają z sieci konsumentów. Mieli konkurować z Flashem, ale przegrali. Nawet jeśli potrzebujesz Java, prawdopodobnie nie potrzebujesz wtyczki.
Okazjonalna firma lub użytkownik, który tego potrzebujeWtyczka przeglądarki Java powinna przejść do Panelu sterowania Java i włączyć tę opcję. Wtyczkę należy uznać za starszą opcję zgodności.
