Java byla v roce 2013 zodpovědná za 91 procent všech počítačových kompromisů. Většina lidí má nejen povolený modul plug-in prohlížeče Java, ale používá zastaralou zranitelnou verzi. Ahoj, Oracle - je čas ve výchozím nastavení tento plug-in deaktivovat.
Oracle ví, že situace je katastrofa. Vzdali se bezpečnostní karantény Java plug-in, původně navržené k ochraně před škodlivými applety Java. Applety Java na webu získají úplný přístup k vašemu systému s výchozím nastavením.
Plug-in Java Browser je úplná katastrofa
Obránci Javy mají tendenci si stěžovat, kdykoli stránky jako ten náš píšou, že Java je extrémně nejistá. "To je jen zásuvný modul prohlížeče," říkají - uznávajíc, jak je poškozený. Tento nezabezpečený modul plug-in prohlížeče je ale ve výchozím nastavení povolen při každé jednotlivé instalaci prostředí Java. Statistiky hovoří samy za sebe. I zde na How-To Geek má 95 procent našich nemobilních návštěvníků povolený modul plug-in Java. A my jsme web, který našim čtenářům stále říká odinstalovat Java nebo alespoň deaktivovat zásuvný modul .
Studie na celém internetu stále ukazují, že většina počítačů s nainstalovanou Javou má k dispozici zastaralý zásuvný modul prohlížeče Java, který umožňuje škodlivé webové stránky zpustošit. V roce 2013 studie provedená Websense Security Labs ukázal, že 80 procent počítačů mělo zastaralé a zranitelné verze Javy. Dokonce i ty charitativní studie jsou děsivé - mají tendenci tvrdit, že více než 50 procent pluginů Java je zastaralých.
V roce 2014 Výroční zpráva společnosti Cisco o zabezpečení uvedlo, že 91 procent všech útoků v roce 2013 bylo proti Javě. Oracle se dokonce pokouší využít tohoto problému spojením hrozný Ask Toolbar a další junkware s aktualizacemi Java - zůstaňte nóbl, Oracle.
Oracle se postavil na sandboxing Java Plug-in
Plug-in Java spouští program Java - nebo „Java applet“ - vložený na webovou stránku, podobně jako funguje Adobe Flash. Protože Java je složitý jazyk používaný pro vše od desktopových aplikací po serverový software, byl plug-in původně navržen pro spuštění těchto programů Java v bezpečné pískoviště . To by jim bránilo dělat ve vašem systému ošklivé věci, i kdyby se o to pokusili.
To je každopádně teorie. V praxi existuje zdánlivě nikdy nekončící proud zranitelností, které umožňují appletům Java uniknout z karantény a spustit hrubou hru ve vašem systému.
Oracle si uvědomuje, že pískoviště je nyní v podstatě rozbité, takže pískoviště je nyní v podstatě mrtvé. Už to vzdali. Ve výchozím nastavení již Java nebude spouštět „nepodepsané“ applety. Spuštění nepodepsaných appletů by nemělo být problémem, pokud byl bezpečnostní sandbox důvěryhodný - proto obecně není problém spustit jakýkoli obsah Adobe Flash, který najdete na webu. I když ve Flashi existují chyby zabezpečení, jsou opraveny a Adobe se nevzdává karantény Flash.
Ve výchozím nastavení bude Java načítat pouze podepsané applety. To zní dobře, jako dobré vylepšení zabezpečení. Je zde však závažný důsledek. Když je applet Java podepsán, považuje se za důvěryhodný a nepoužívá izolovaný prostor. Jak uvádí varovná zpráva Java:
"Tato aplikace bude spuštěna s neomezeným přístupem, což může ohrozit váš počítač a osobní údaje."
Dokonce i vlastní applet pro kontrolu verze Javy od Oracle - jednoduchý malý applet, který spouští Javu, aby zkontroloval vaši nainstalovanou verzi a sdělil vám, zda potřebujete aktualizaci - vyžaduje tento úplný přístup k systému. To je naprosto šílené.
Jinými slovy, Java se na pískovišti opravdu vzdala. Ve výchozím nastavení nemůžete spustit applet Java nebo jej spustit s plným přístupem k vašemu systému. Sandbox nelze použít, dokud nevyladíte nastavení zabezpečení Java. Sandbox je tak nedůvěryhodný, že každý bit kódu Java, se kterým se setkáte online, vyžaduje plný přístup k vašemu systému. Můžete si také jednoduše stáhnout program Java a spustit jej, než aby se spoléhal na zásuvný modul prohlížeče, který nenabízí dodatečné zabezpečení, které bylo původně navrženo.
Jako jeden vývojář Java vysvětleno : „Oracle záměrně zabíjí bezpečnostní karanténu Java pod záminkou, že zlepšuje zabezpečení.“
Webové prohlížeče to sami deaktivují
Naštěstí webové prohlížeče vstupují do řešení nečinnosti Oracle. I když máte nainstalovaný a povolený zásuvný modul prohlížeče Java, Chrome a Firefox ve výchozím nastavení nenačtou obsah Java. Pro obsah Java používají „click-to-play“.
Internet Explorer stále automaticky načítá obsah Java. Internet Explorer se o něco zlepšil - konečně začal blokovat zastaralé a zranitelné ovládací prvky ActiveX spolu s „Windows 8.1 August Update“ (aka Windows 8.1 Update 2) v srpnu 2014. Chrome a Firefox to dělají mnohem déle. Internet Explorer je zde za jinými prohlížeči - opět.
Jak zakázat modul plug-in Java
Každý, kdo potřebuje nainstalovanou Javu, by měl alespoň deaktivovat zásuvný modul z ovládacího panelu Java. U posledních verzí prostředí Java můžete jedním klepnutím na klávesu Windows otevřít nabídku Start nebo Start, zadat „Java“ a poté kliknout na zástupce „Konfigurovat Javu“. Na kartě Zabezpečení zrušte zaškrtnutí možnosti „Povolit obsah Java v prohlížeči“.
I po deaktivaci modulu plug-in Minecraft a jakákoli jiná desktopová aplikace, která závisí na Javě, bude fungovat dobře. Tím se zablokují pouze applety Java vložené na webových stránkách.
Ano, applety Java stále existují ve volné přírodě. Pravděpodobně je najdete nejčastěji na interních webech, kde má některá společnost starou aplikaci napsanou jako applet Java. Ale applety Java jsou mrtvá technologie a z spotřebitelského webu mizí. Měli soutěžit s Flashem, ale prohráli. I když potřebujete Javu, plug-in pravděpodobně nepotřebujete.
Příležitostná společnost nebo uživatel, který potřebuje zásuvný modul prohlížeče Java, by měl jít do Ovládacích panelů Java a rozhodnout se jej povolit. Plug-in by měl být považován za starší možnost kompatibility.
