Java fue responsable del 91 por ciento de todos los riesgos informáticos en 2013. La mayoría de las personas no solo tienen habilitado el complemento del navegador Java, sino que utilizan una versión obsoleta y vulnerable. Oye, Oracle: es hora de deshabilitar ese complemento de forma predeterminada.
Oracle sabe que la situación es un desastre. Han renunciado a la zona de pruebas de seguridad del complemento de Java, originalmente diseñada para protegerlo de los subprogramas Java maliciosos. Los subprogramas de Java en la web obtienen acceso completo a su sistema con la configuración predeterminada.
El complemento del navegador Java es un desastre total
Los defensores de Java tienden a quejarse cada vez que sitios como el nuestro escriben que Java es extremadamente inseguro. "Ese es solo el complemento del navegador", dicen, reconociendo lo roto que está. Pero ese inseguro complemento del navegador está habilitado de forma predeterminada en cada instalación de Java que existe. Las estadísticas hablan por sí solas. Incluso aquí en How-To Geek, el 95 por ciento de nuestros visitantes que no utilizan dispositivos móviles tienen habilitado el complemento Java. Y somos un sitio web que sigue diciendo a nuestros lectores que desinstalar Java o al menos deshabilite el complemento .
Los estudios en Internet siguen mostrando que la mayoría de las computadoras con Java instalado tienen un complemento de navegador de Java desactualizado disponible para que los sitios web maliciosos saqueen. En 2013, un estudio de Websense Security Labs mostró que el 80 por ciento de las computadoras tenían versiones obsoletas y vulnerables de Java. Incluso los estudios más caritativos dan miedo: tienden a afirmar que más del 50 por ciento de los complementos de Java están desactualizados.
En 2014, Informe anual de seguridad de Cisco dijo que el 91 por ciento de todos los ataques en 2013 fueron contra Java. Oracle incluso intenta aprovechar este problema agrupando la terrible barra de herramientas Ask y otros programas basura con actualizaciones de Java: manténgase elegante, Oracle.
Oracle renunció al entorno de pruebas del complemento de Java
El complemento de Java ejecuta un programa de Java, o "subprograma de Java", incrustado en una página web, similar a cómo funciona Adobe Flash. Debido a que Java es un lenguaje complejo que se utiliza para todo, desde aplicaciones de escritorio hasta software de servidor, el complemento se diseñó originalmente para ejecutar estos programas Java en una caja de arena segura . Esto evitaría que le hagan cosas desagradables a su sistema, incluso si lo intentaran.
De todos modos, esa es la teoría. En la práctica, existe un flujo aparentemente interminable de vulnerabilidades que permiten a los subprogramas de Java escapar de la caja de arena y pasar por alto su sistema.
Oracle se da cuenta de que la caja de arena ahora está básicamente rota, por lo que la caja de arena ahora está básicamente muerta. Se han rendido. De forma predeterminada, Java ya no ejecutará subprogramas "sin firmar". La ejecución de subprogramas sin firmar no debería ser un problema si la zona de pruebas de seguridad fuera confiable; por eso, generalmente no es un problema ejecutar cualquier contenido de Adobe Flash que encuentre en la web. Incluso si hay vulnerabilidades en Flash, se corrigen y Adobe no renuncia al sandboxing de Flash.
De forma predeterminada, Java solo cargará subprogramas firmados. Eso suena bien, como una buena mejora de seguridad. Sin embargo, aquí hay una grave consecuencia. Cuando se firma un subprograma de Java, se considera "de confianza" y no utiliza la zona de pruebas. Como dice el mensaje de advertencia de Java:
"Esta aplicación se ejecutará con acceso sin restricciones, lo que puede poner en riesgo su computadora y su información personal".
Incluso el propio subprograma de verificación de la versión de Java de Oracle, un pequeño subprograma que ejecuta Java para verificar su versión instalada y le dice si necesita actualizar, requiere este acceso completo al sistema. Eso es una locura.
En otras palabras, Java realmente se ha rendido en el sandbox. De forma predeterminada, no puede ejecutar un subprograma de Java o ejecutarlo con acceso completo a su sistema. No hay forma de utilizar la zona de pruebas a menos que modifique la configuración de seguridad de Java. El sandbox es tan poco confiable que cada fragmento de código Java que encuentre en línea necesita acceso completo a su sistema. También puede descargar un programa Java y ejecutarlo en lugar de confiar en el complemento del navegador, que no ofrece la seguridad adicional para la que fue diseñado originalmente.
Como un desarrollador de Java explicado : "Oracle está eliminando intencionalmente la zona de pruebas de seguridad de Java con el pretexto de mejorar la seguridad".
Los navegadores web lo están deshabilitando por su cuenta
Afortunadamente, los navegadores web están interviniendo para corregir la inacción de Oracle. Incluso si tiene el complemento del navegador Java instalado y habilitado, Chrome y Firefox no cargarán contenido Java de forma predeterminada. Usan "hacer clic para reproducir" para el contenido de Java.
Internet Explorer todavía carga automáticamente contenido Java. Internet Explorer ha mejorado algo: finalmente comenzó a bloquear controles ActiveX vulnerables y desactualizados junto con “Actualización de agosto de Windows 8.1” (también conocida como Windows 8.1 Update 2) en agosto de 2014. Chrome y Firefox han estado haciendo esto durante mucho más tiempo. Internet Explorer está detrás de otros navegadores aquí, nuevamente.
Cómo deshabilitar el complemento de Java
Todos los que necesiten tener Java instalado deben al menos deshabilitar el complemento desde el Panel de control de Java. Con las versiones recientes de Java, puede tocar la tecla Windows una vez para abrir el menú Inicio o la pantalla Inicio, escribir "Java" y luego hacer clic en el acceso directo "Configurar Java". En la pestaña Seguridad, desmarque la opción "Habilitar contenido Java en el navegador".
Incluso después de deshabilitar el complemento, Minecraft y cualquier otra aplicación de escritorio que dependa de Java funcionará bien. Esto solo bloqueará los subprogramas de Java incrustados en páginas web.
Sí, los subprogramas de Java todavía existen en la naturaleza. Probablemente los encontrará con mayor frecuencia en sitios internos donde alguna empresa tiene una aplicación antigua escrita como un subprograma de Java. Pero los applets de Java son una tecnología muerta y están desapareciendo de la web de consumidores. Se suponía que iban a competir con Flash, pero perdieron. Incluso si necesita Java, probablemente no necesite el complemento.
La empresa o el usuario ocasional que necesita el complemento del navegador de Java debería tener que ir al Panel de control de Java y elegir habilitarlo. El complemento debe considerarse una opción de compatibilidad heredada.
