Java war 2013 für 91 Prozent aller Computer-Kompromisse verantwortlich. Die meisten Benutzer haben nicht nur das Java-Browser-Plug-In aktiviert, sondern verwenden auch eine veraltete, anfällige Version. Hey, Oracle - es ist Zeit, dieses Plug-In standardmäßig zu deaktivieren.
Oracle weiß, dass die Situation eine Katastrophe ist. Sie haben die Sicherheits-Sandbox des Java-Plug-Ins aufgegeben, die ursprünglich zum Schutz vor böswilligen Java-Applets entwickelt wurde. Java-Applets im Web erhalten mit den Standardeinstellungen vollständigen Zugriff auf Ihr System.
Das Java Browser Plug-in ist eine vollständige Katastrophe
Verteidiger von Java neigen dazu, sich zu beschweren, wenn Websites wie unsere schreiben, dass Java extrem unsicher ist. "Das ist nur das Browser-Plug-In", sagen sie und erkennen an, wie kaputt es ist. Dieses unsichere Browser-Plug-In ist jedoch standardmäßig in jeder einzelnen Java-Installation aktiviert. Die Statistiken sprechen für sich. Selbst hier bei How-To Geek haben 95 Prozent unserer nicht mobilen Besucher das Java-Plug-In aktiviert. Und wir sind eine Website, die unsere Leser immer wieder dazu auffordert Java deinstallieren oder Deaktivieren Sie zumindest das Plug-In .
Studien im Internet zeigen immer wieder, dass die meisten Computer mit installiertem Java über ein veraltetes Java-Browser-Plug-In verfügen, das böswilligen Websites zur Verfügung steht. Im Jahr 2013 a Studie von Websense Security Labs zeigten, dass 80 Prozent der Computer veraltete, anfällige Java-Versionen hatten. Selbst die gemeinnützigsten Studien sind beängstigend - sie behaupten, dass mehr als 50 Prozent der Java-Plug-Ins veraltet sind.
In 2014, Jährlicher Sicherheitsbericht von Cisco 91 Prozent aller Angriffe im Jahr 2013 waren gegen Java. Oracle versucht sogar, dieses Problem durch Bündelung auszunutzen die schreckliche Ask Toolbar und andere Junkware mit Java-Updates - bleiben Sie edel, Oracle.
Oracle hat das Sandboxing des Java-Plug-Ins aufgegeben
Das Java-Plug-In führt ein Java-Programm - oder „Java-Applet“ - aus, das auf einer Webseite eingebettet ist, ähnlich wie Adobe Flash. Da Java eine komplexe Sprache ist, die von Desktop-Anwendungen bis hin zu Serversoftware verwendet wird, wurde das Plug-In ursprünglich für die Ausführung dieser Java-Programme entwickelt eine sichere Sandbox . Dies würde sie daran hindern, Ihrem System böse Dinge anzutun, selbst wenn sie es versuchen würden.
Das ist jedenfalls die Theorie. In der Praxis gibt es einen scheinbar endlosen Strom von Sicherheitslücken, die es Java-Applets ermöglichen, aus der Sandbox zu entkommen und Ihr System grob zu überfahren.
Oracle erkennt, dass die Sandbox jetzt im Grunde kaputt ist, sodass die Sandbox jetzt im Grunde tot ist. Sie haben es aufgegeben. Standardmäßig führt Java keine "nicht signierten" Applets mehr aus. Das Ausführen nicht signierter Applets sollte kein Problem sein, wenn die Sicherheits-Sandbox vertrauenswürdig war. Aus diesem Grund ist es im Allgemeinen kein Problem, Adobe Flash-Inhalte auszuführen, die Sie im Web finden. Selbst wenn Flash Schwachstellen aufweist, werden diese behoben und Adobe gibt das Sandboxing von Flash nicht auf.
Standardmäßig lädt Java nur signierte Applets. Das klingt gut, wie eine gute Sicherheitsverbesserung. Hier gibt es jedoch schwerwiegende Konsequenzen. Wenn ein Java-Applet signiert ist, gilt es als "vertrauenswürdig" und verwendet die Sandbox nicht. In der Warnmeldung von Java heißt es:
"Diese Anwendung wird mit uneingeschränktem Zugriff ausgeführt, wodurch Ihr Computer und Ihre persönlichen Daten gefährdet werden können."
Selbst das Oracle-eigene Applet zur Überprüfung der Java-Version - ein einfaches kleines Applet, mit dem Java ausgeführt wird, um Ihre installierte Version zu überprüfen und Ihnen mitzuteilen, ob Sie ein Update durchführen müssen - erfordert diesen vollständigen Systemzugriff. Das ist völlig verrückt.
Mit anderen Worten, Java hat die Sandbox wirklich aufgegeben. Standardmäßig können Sie ein Java-Applet entweder nicht oder mit vollem Zugriff auf Ihr System ausführen. Die Sandbox kann nur verwendet werden, wenn Sie die Sicherheitseinstellungen von Java anpassen. Die Sandbox ist so unzuverlässig, dass jedes Stück Java-Code, auf das Sie online stoßen, vollen Zugriff auf Ihr System benötigt. Sie können auch einfach ein Java-Programm herunterladen und ausführen, anstatt sich auf das Browser-Plug-In zu verlassen, das nicht die zusätzliche Sicherheit bietet, für die es ursprünglich entwickelt wurde.
Als ein Java-Entwickler erklärt : "Oracle tötet absichtlich die Java-Sicherheits-Sandbox unter dem Vorwand, die Sicherheit zu verbessern."
Webbrowser deaktivieren es selbstständig
Zum Glück greifen Webbrowser ein, um die Untätigkeit von Oracle zu beheben. Selbst wenn Sie das Java-Browser-Plug-In installiert und aktiviert haben, laden Chrome und Firefox standardmäßig keine Java-Inhalte. Sie verwenden "Click-to-Play" für Java-Inhalte.
Internet Explorer lädt weiterhin automatisch Java-Inhalte. Der Internet Explorer hat sich etwas verbessert - er hat endlich begonnen, veraltete, anfällige ActiveX-Steuerelemente zusammen mit dem zu blockieren "Windows 8.1 August Update" (auch bekannt als Windows 8.1 Update 2) im August 2014. Chrome und Firefox machen das schon viel länger. Internet Explorer steht hier wieder hinter anderen Browsern.
So deaktivieren Sie das Java-Plug-In
Jeder, der Java installieren muss, sollte zumindest das Plug-In in der Java-Systemsteuerung deaktivieren. In neueren Java-Versionen können Sie einmal auf die Windows-Taste tippen, um das Startmenü oder den Startbildschirm zu öffnen, "Java" eingeben und dann auf die Verknüpfung "Java konfigurieren" klicken. Deaktivieren Sie auf der Registerkarte Sicherheit die Option "Java-Inhalt im Browser aktivieren".
Auch nachdem Sie das Plug-In deaktiviert haben, Minecraft und jede andere Desktop-Anwendung, die von Java abhängt, läuft einwandfrei. Dadurch werden nur in Webseiten eingebettete Java-Applets blockiert.
Ja, Java-Applets existieren immer noch in freier Wildbahn. Sie werden sie wahrscheinlich am häufigsten auf internen Websites finden, auf denen ein Unternehmen eine alte Anwendung als Java-Applet geschrieben hat. Java-Applets sind jedoch eine tote Technologie und verschwinden aus dem Consumer-Web. Sie sollten mit Flash konkurrieren, aber sie haben verloren. Selbst wenn Sie Java benötigen, benötigen Sie das Plug-In wahrscheinlich nicht.
Das gelegentliche Unternehmen oder der Benutzer, der das Java-Browser-Plug-In benötigt, muss in die Java-Systemsteuerung gehen und es aktivieren. Das Plug-In sollte als Legacy-Kompatibilitätsoption betrachtet werden.
