Java a fost responsabil pentru 91% din toate compromisurile pe calculator în 2013. Cei mai mulți oameni nu numai că au plug-in browser-ul Java activat - folosesc o versiune exterioară, vulnerabilă. Hei, Oracle - este timpul să dezactivezi pluginul implicit.
Oracle știe că situația este un dezastru. Au renunțat la nisipul de securitate al plug-in-ului Java, proiectat inițial pentru a vă proteja de applet-urile Java de malware. Aplicațiile Java de pe web beneficiază de acces complet la sistemul dvs. cu setările implicite.
Apărătorii Java tind să se plângă ori de câte ori site-uri precum cele ale noastre scriu că Java este extrem de nesigur. "Acesta este doar plug-in-ul pentru browser", spun ei, recunoscând cât de rupt este. Dar plug-in-ul browser-ului nesigur este activat implicit în fiecare instalare Java. Statisticile vorbesc de la sine. Chiar și aici, la How-To Geek, 95% din vizitatorii noștri mobili au plug-in Java activat. Și suntem un site web care continuă să spună cititorilor noștri să dezinstaleze Java sau cel puțin să dezactiveze plug-in-ul.
Studiile pe internet continuă să demonstreze că majoritatea calculatoarelor cu Java instalate au un plug-in de browser Java existent, disponibil pentru site-uri rău intenționate, pentru a devasta. În 2013, un studiu efectuat de Websense Security Labs a arătat că 80% din computere au versiuni excluse ale Java. Chiar și cele mai caritabile studii sunt înfricoșătoare - ei tind să pretindă că mai mult de 50% din plug-in-urile Java sunt învechite.
În 2014, raportul anual de securitate al Cisco arată că 91% din toate atacurile din 2013 au fost împotriva Java. Oracle chiar încearcă să profite de această problemă prin legarea teribilă a Bara de instrumente Ask și a altor junkware cu actualizări Java - să rămână clasă, Oracle.
Pluginul Java rulează un program Java - sau "applet Java" - încorporat pe o pagină web, similar cu modul în care funcționează Adobe Flash. Deoarece Java este un limbaj complex folosit pentru orice, de la aplicații desktop la software de server, plug-in-ul a fost inițial proiectat pentru a rula aceste programe Java într-un sandbox securizat. Acest lucru le-ar împiedica să facă lucruri urâte în sistemul dvs., chiar dacă au încercat.
Aceasta este teoria, oricum. În practică, există un flux de vulnerabilități aparent fără sfârșit, care permite apleturilor Java să scape din cutia de nisip și să execute rușine asupra sistemului dvs.
Oracle realizează că nisipul este acum rupt, astfel că nisipul este în prezent mort. Au renunțat la asta. În mod implicit, Java nu va mai executa appleturi "nesemnate". Rularea aplicațiilor nesemnate nu ar trebui să fie o problemă dacă caseta de securitate a fost de încredere - de aceea nu este în general o problemă să rulați conținut Adobe Flash pe care îl găsiți pe web. Chiar dacă există vulnerabilități în Flash, acestea sunt fixe și Adobe nu renunță la sandbox-ul Flash.
În mod implicit, Java va încărca numai applet-uri semnate. Sună bine, ca o îmbunătățire bună a securității. Cu toate acestea, aici este o consecință serioasă. Atunci când un applet Java este semnat, este considerat "de încredere" și nu utilizează caseta de nisip. În mesajul de avertizare al lui Java se spune:
"Această aplicație va rula cu acces nelimitat, ceea ce ar putea pune în pericol calculatorul și informațiile dvs. personale".
Chiar și propriul applet de control al versiunii Java de la Oracle - un applet simplu care rulează Java pentru a verifica versiunea instalată și vă spune dacă trebuie să actualizați - necesită acest acces complet la sistem. Asta e complet nebun.
Cu alte cuvinte, Java a renunțat într-adevăr la nisip. În mod implicit, fie nu puteți rula un applet Java, fie îl puteți rula cu acces complet la sistemul dvs. Nu există nicio modalitate de a utiliza sandbox-ul decât dacă modificați setările de securitate ale Java. Nisipul este atât de nesigur că fiecare cod Java pe care îl întâlniți online are nevoie de acces complet la sistemul dvs. S-ar putea să descărcați un program Java și să îl executați mai degrabă decât să vă bazați pe plug-in-ul browserului, care nu oferă securitatea suplimentară pe care a fost proiectată inițial să o ofere.
Așa cum a explicat un dezvoltator Java: "Oracle intenționează să ucidă cutia de securitate de la Java sub pretextul îmbunătățirii securității."
Din fericire, browserele web intră pentru a repara inacțiunea Oracle. Chiar dacă aveți instalat și activat browserul Java, Chrome și Firefox nu vor încărca în mod implicit conținutul Java. Ei folosesc "click-to-play" pentru conținutul Java.
Internet Explorer încarcă automat în continuare conținutul Java. Internet Explorer sa îmbunătățit într-o oarecare măsură - în cele din urmă a început să blocheze controalele ActiveX vulnerabile, împreună cu "Actualizarea Windows 8.1 august" (aka Windows 8.1 Update 2) în august 2014. Chrome și Firefox au făcut acest lucru mult mai mult . Internet Explorer se află în spatele altor browsere aici - din nou.
Toți cei care au nevoie de Java instalat ar trebui să dezactiveze cel puțin plug-in-ul din panoul de control java. Cu versiunile recente ale Java, puteți apăsa o dată tasta Windows pentru a deschide meniul Start sau Start, tastați "Java" și apoi faceți clic pe comanda rapidă "Configure Java". În fila Securitate, debifați opțiunea "Activați conținutul Java în browser".
Chiar și după ce dezactivați plug-in-ul, Minecraft și orice altă aplicație desktop care depinde de Java va funcționa foarte bine. Aceasta va bloca numai aplicațiile Java applets încorporate pe paginile web.
Da, applet-urile Java încă mai există în sălbăticie. Probabil că le veți găsi cel mai frecvent pe site-urile interne unde o companie are o aplicație antică scrisă ca un applet Java. Dar applet-urile Java sunt o tehnologie moartă și dispăreau de pe internet. Trebuiau să concureze cu Flash, dar au pierdut.Chiar dacă aveți nevoie de Java, probabil că nu aveți nevoie de plug-in.
Compania sau utilizatorul ocazional care are nevoie de plug-in-ul de browser Java ar trebui să intre în Panoul de control al Java și să aleagă să o activeze. Plug-in-ul ar trebui considerat o opțiune de compatibilitate.
