Java var ansvarlig for 91 procent af alle computerkompromiser i 2013. De fleste mennesker har ikke kun Java-browser-plug-in aktiveret - de bruger en forældet, sårbar version. Hej Oracle - det er tid til at deaktivere dette plugin som standard.
Oracle ved, at situationen er en katastrofe. De har givet op på Java-plug-inens sikkerhedssandkasse, der oprindeligt var designet til at beskytte dig mod ondsindede Java-applets. Java-applets på internettet får fuld adgang til dit system med standardindstillingerne.
Plugin-modulet til Java-browser er en komplet katastrofe
Forsvarere af Java har en tendens til at klage, når websteder som vores skriver, at Java er ekstremt usikker. "Det er bare browser-plug-in," siger de - idet de anerkender, hvor ødelagt det er. Men den usikre browser-plug-in er som standard aktiveret i hver enkelt installation af Java derude. Statistikken taler for sig selv. Selv her på How-To Geek har 95 procent af vores ikke-mobile besøgende Java-plug-in aktiveret. Og vi er et websted, der hele tiden fortæller vores læsere afinstallere Java eller deaktiver i det mindste plug-in .
Internettet viser undersøgelser fortsat, at de fleste computere med Java installeret har en forældet Java-browser-plug-in, der er tilgængelig for ondsindede websteder at ødelægge. I 2013 blev en undersøgelse foretaget af Websense Security Labs viste, at 80 procent af computere havde forældede, sårbare versioner af Java. Selv de mest velgørende studier er skræmmende - de har en tendens til at hævde, at mere end 50 procent af Java-plug-ins er forældede.
I 2014 Ciscos årlige sikkerhedsrapport sagde 91 procent af alle angreb i 2013 var imod Java. Oracle forsøger endda at udnytte dette problem ved at samle det den forfærdelige Ask Toolbar og anden junkware med Java-opdateringer - bliv klassisk, Oracle.
Oracle gav op på Java Plug-in's Sandboxing
Java-plugin'et kører et Java-program - eller "Java-applet" - integreret på en webside, svarende til hvordan Adobe Flash fungerer. Fordi Java er et komplekst sprog, der bruges til alt fra desktop-applikationer til serversoftware, blev plug-in'en oprindeligt designet til at køre disse Java-programmer i en sikker sandkasse . Dette ville forhindre dem i at gøre grimme ting på dit system, selvom de prøvede.
Det er alligevel teorien. I praksis er der en tilsyneladende uendelig strøm af sårbarheder, der gør det muligt for Java-applets at undslippe sandkassen og køre groft over dit system.
Oracle indser, at sandkassen nu grundlæggende er brudt, så sandkassen er nu grundlæggende død. De har givet op. Som standard kører Java ikke længere "usignerede" applets. At køre usignerede applets bør ikke være et problem, hvis sikkerhedssandkassen var pålidelig - det er derfor generelt ikke et problem at køre noget Adobe Flash-indhold, du finder på nettet. Selvom der er sårbarheder i Flash, er de rettet, og Adobe opgiver ikke Flashs sandboxing.
Som standard vil Java kun indlæse underskrevne applets. Det lyder fint, som en god sikkerhedsforbedring. Der er dog en alvorlig konsekvens her. Når en Java-applet er signeret, betragtes den som "betroet", og den bruger ikke sandkassen. Som Java's advarselsmeddelelse siger:
"Denne applikation kører med ubegrænset adgang, hvilket kan bringe din computer og personlige oplysninger i fare."
Selv Oracle's egen Java-versionskontrolapplet - en simpel lille applet, der kører Java for at kontrollere din installerede version og fortæller dig, om du har brug for at opdatere - kræver denne fulde systemadgang. Det er helt sindssygt.
Med andre ord, Java har virkelig givet op på sandkassen. Som standard kan du enten ikke køre en Java-applet eller køre den med fuld adgang til dit system. Der er ingen måde at bruge sandkassen på, medmindre du tilpasser Java's sikkerhedsindstillinger. Sandkassen er så upålidelig, at hver bit Java-kode, du støder på online, har brug for fuld adgang til dit system. Du kan lige så godt bare downloade et Java-program og køre det i stedet for at stole på browser-pluginnet, som ikke tilbyder den ekstra sikkerhed, det oprindeligt var designet til at give.
Som en Java-udvikler forklaret : "Oracle dræber forsætligt Java-sikkerhedssandkassen under foregivelse af at forbedre sikkerheden."
Webbrowsere deaktiverer det alene
Heldigvis træder webbrowsere ind for at rette Oracle's passivitet. Selvom du har Java-browser-pluginnet installeret og aktiveret, indlæses Chrome og Firefox ikke Java-indhold som standard. De bruger “klik for at afspille” til Java-indhold.
Internet Explorer indlæser stadig automatisk Java-indhold. Internet Explorer er forbedret noget - det begyndte endelig at blokere forældede, sårbare ActiveX-kontroller sammen med “Windows 8.1 August Update” (også kendt som Windows 8.1 Update 2) i august 2014. Chrome og Firefox har gjort dette meget længere. Internet Explorer står bag andre browsere her - igen.
Sådan deaktiveres Java Plug-in
Alle, der har brug for Java installeret, skal i det mindste deaktivere plug-in'en fra java-kontrolpanelet. Med nyere versioner af Java kan du trykke en gang på Windows-tasten for at åbne Start-menuen eller Start-skærmen, skrive "Java" og derefter klikke på genvejen "Konfigurer Java". Fjern markeringen fra afkrydsningsfeltet "Aktiver Java-indhold i browseren" under fanen Sikkerhed.
Selv efter du har deaktiveret plug-in, Minecraft og ethvert andet desktop-program, der afhænger af Java, kører fint. Dette blokerer kun Java-applets integreret på websider.
Ja, Java-applets findes stadig i naturen. Du finder sandsynligvis dem hyppigst på interne websteder, hvor et firma har en gammel applikation skrevet som en Java-applet. Men Java-applets er en død teknologi, og de forsvinder fra forbrugernettet. De skulle konkurrere med Flash, men de tabte. Selv hvis du har brug for Java, har du sandsynligvis ikke brug for plug-in.
Den lejlighedsvise virksomhed eller bruger, der har brug for Java-browser-plug-in, skal gå ind i Java's kontrolpanel og vælge at aktivere det. Plugin'et skal betragtes som en ældre kompatibilitetsindstilling.
