Java foi responsável por 91% de todoscomprometimentos do computador em 2013. A maioria das pessoas não só tem o plug-in do navegador Java ativado, como também está usando uma versão desatualizada e vulnerável. Ei, Oracle - é hora de desativar esse plug-in por padrão.
A Oracle sabe que a situação é um desastre. Eles desistiram da caixa de proteção de segurança do plug-in Java, originalmente projetada para protegê-lo de miniaplicativos Java maliciosos. Os applets Java na Web obtêm acesso completo ao seu sistema com as configurações padrão.
O plug-in do navegador Java é um desastre completo
Os defensores do Java tendem a reclamar sempre que os sitescomo os nossos, escrevemos que Java é extremamente inseguro. "Esse é apenas o plug-in do navegador", dizem eles, reconhecendo como está quebrado. Mas esse plug-in de navegador inseguro é ativado por padrão em todas as instalações do Java existentes. As estatísticas falam por si mesmas. Mesmo aqui no How-To Geek, 95% de nossos visitantes não móveis têm o plug-in Java ativado. E somos um site que continua dizendo aos nossos leitores para desinstalar o Java ou pelo menos desativar o plug-in.
Em toda a Internet, estudos continuam mostrando que oa maioria dos computadores com o Java instalado possui um plug-in desatualizado do navegador Java disponível para sites mal-intencionados. Em 2013, um estudo do Websense Security Labs mostrou que 80% dos computadores tinham versões vulneráveis e desatualizadas do Java. Mesmo os estudos mais caridosos são assustadores - eles tendem a alegar que mais de 50% dos plug-ins Java estão desatualizados.
Em 2014, o relatório anual de segurança da Cisco dizia 91por cento de todos os ataques em 2013 foram contra Java. A Oracle até tenta tirar proveito desse problema, agrupando a terrível Ask Toolbar e outros junkware com atualizações de Java - fique elegante, Oracle.
A Oracle desistiu do sandbox do plug-in Java
O plug-in Java executa um programa Java - ou “Javaapplet ”- incorporado em uma página da web, semelhante à forma como o Adobe Flash funciona. Como Java é uma linguagem complexa usada para tudo, desde aplicativos de desktop a software de servidor, o plug-in foi originalmente projetado para executar esses programas Java em uma caixa de proteção segura. Isso os impediria de fazer coisas desagradáveis ao seu sistema, mesmo que tentassem.
Essa é a teoria de qualquer maneira. Na prática, existe um fluxo aparentemente interminável de vulnerabilidades que permite que os miniaplicativos Java escapem da área restrita e executem ataques bruscos no sistema.
Oracle percebe que a caixa de areia é agora basicamentequebrado, então a caixa de areia agora está basicamente morta. Eles desistiram disso. Por padrão, o Java não executará mais os applets "não assinados". A execução de miniaplicativos não assinados não deve ser um problema se a sandbox de segurança for confiável - é por isso que geralmente não é um problema executar qualquer conteúdo do Adobe Flash encontrado na web. Mesmo se houver vulnerabilidades no Flash, elas são corrigidas e a Adobe não desiste do sandboxing do Flash.
Por padrão, o Java carregará apenas applets assinados. Parece bom, como uma boa melhoria de segurança. No entanto, há uma séria conseqüência aqui. Quando um applet Java é assinado, ele é considerado "confiável" e não usa a sandbox. Como a mensagem de aviso de Java coloca:
"Este aplicativo será executado com acesso irrestrito, o que pode colocar seu computador e informações pessoais em risco."
Até o próprio applet de verificação de versão Java da Oracle - umUm pequeno applet simples que executa o Java para verificar sua versão instalada e informa se você precisa atualizar - requer esse acesso completo ao sistema. Isso é completamente insano.
Em outras palavras, o Java realmente desistiu dacaixa de areia. Por padrão, você não pode executar um applet Java ou executá-lo com acesso total ao seu sistema. Não há como usar a sandbox, a menos que você ajuste as configurações de segurança do Java. O sandbox é tão pouco confiável que todo código Java encontrado online precisa de acesso total ao seu sistema. Você também pode fazer o download de um programa Java e executá-lo, em vez de confiar no plug-in do navegador, que não oferece a segurança adicional que foi originalmente projetada para fornecer.
Como um desenvolvedor Java explicou: "A Oracle está intencionalmente eliminando a sandbox de segurança Java, sob o pretexto de melhorar a segurança".
Navegadores da Web estão desativando-o por conta própria
Felizmente, os navegadores da web estão entrando para corrigirInação da Oracle. Mesmo se você tiver o plug-in do navegador Java instalado e ativado, o Chrome e o Firefox não carregarão o conteúdo Java por padrão. Eles usam "clique para reproduzir" para conteúdo Java.
O Internet Explorer ainda carrega automaticamente o Javaconteúdo. O Internet Explorer melhorou um pouco - finalmente começou a bloquear controles ActiveX desatualizados e vulneráveis, juntamente com a “Atualização do Windows 8.1 de agosto” (também conhecida como Windows 8.1 Update 2) em agosto de 2014. Chrome e Firefox fazem isso há muito mais tempo . O Internet Explorer está atrás de outros navegadores aqui - novamente.
Como desativar o plug-in Java
Todo mundo que precisa do Java instalado deve pelo menosdesative o plug-in no painel de controle java. Nas versões recentes do Java, você pode tocar na tecla Windows uma vez para abrir o menu Iniciar ou a tela Iniciar, digite “Java” e clique no atalho “Configurar Java”. Na guia Segurança, desmarque a opção "Ativar conteúdo Java no navegador".
Mesmo após a desativação do plug-in, o Minecraft e qualquer outro aplicativo de desktop que dependa de Java serão executados corretamente. Isso bloqueará apenas os applets Java incorporados nas páginas da web.
Sim, os applets Java ainda existem na natureza. Você provavelmente os encontrará com mais frequência em sites internos em que alguma empresa possui um aplicativo antigo escrito como um applet Java. Mas os applets Java são uma tecnologia morta e estão desaparecendo da Web do consumidor. Eles deveriam competir com o Flash, mas eles perderam. Mesmo se você precisar de Java, provavelmente não precisará do plug-in.
A empresa ou usuário ocasional que precisa doO plug-in do navegador Java deve entrar no Painel de controle do Java e optar por ativá-lo. O plug-in deve ser considerado uma opção de compatibilidade herdada.
