Java oli vastuussa 91 prosentista kaikista tietokoneen kompromisseista vuonna 2013. Useimmilla ihmisillä ei ole vain Java-selainlaajennus käytössä - he käyttävät vanhentunutta, haavoittuvaa versiota. Hei, Oracle - on aika poistaa kyseinen laajennus käytöstä oletuksena.
Oracle tietää tilanteen olevan katastrofi. He ovat luopuneet Java-laajennuksen hiekkalaatikosta, joka on alun perin suunniteltu suojaamaan sinua haitallisilta Java-sovelmilta. Web-Java-sovelmat saavat täydellisen pääsyn järjestelmään oletusasetuksilla.
Java-selainlaajennus on täydellinen katastrofi
Java-puolustajat yleensä valittavat aina, kun meidän kaltaiset sivustot kirjoittavat, että Java on erittäin epävarma. "Se on vain selaimen laajennus", he sanovat ja tunnustavat kuinka rikki se on. Mutta tämä epävarma selainlaajennus on oletusarvoisesti käytössä jokaisessa Java-asennuksessa. Tilastot puhuvat puolestaan. Jopa täällä How-To Geekissä 95 prosentilla ei-mobiilikäyttäjistä Java-laajennus on käytössä. Olemme verkkosivusto, joka kertoo lukijoille jatkuvasti poista Java tai Poista ainakin laajennus käytöstä .
Internetin laajuiset tutkimukset osoittavat jatkuvasti, että suurimmalla osalla tietokoneita, joihin on asennettu Java, on vanhentunut Java-selainlaajennus, joka on käytettävissä haitallisten verkkosivustojen tuhoamiseksi. Vuonna 2013 a tutkimuksen Websense Security Labs osoitti, että 80 prosentilla tietokoneista oli vanhentuneet, haavoittuvat Java-versiot. Jopa hyväntekeväisyystutkimukset ovat pelottavia - niillä on tapana väittää, että yli 50 prosenttia Java-laajennuksista on vanhentuneita.
Vuonna 2014 Ciscon vuotuinen turvallisuusraportti sanoi, että 91 prosenttia kaikista vuonna 2013 tehdyistä hyökkäyksistä kohdistui Javalaan. Oracle jopa yrittää hyödyntää tätä ongelmaa niputtamalla kauhea Ask-työkalurivi ja muut Java-päivityksillä varustetut roskapostit - pysy tyylikkäänä Oracle.
Oracle luovutti Java-laajennuksen hiekkalaatikossa
Java-laajennus käyttää Java-ohjelmaa - tai "Java-sovelma" - upotettuna verkkosivulle samalla tavalla kuin Adobe Flash toimii. Koska Java on monimutkainen kieli, jota käytetään kaikkeen työpöytäsovelluksista palvelinohjelmistoihin, laajennus on alun perin suunniteltu suorittamaan nämä Java-ohjelmat turvallinen hiekkalaatikko . Tämä estäisi heitä tekemästä ikäviä asioita järjestelmällesi, vaikka he yrittäisivätkin.
Se on teoria joka tapauksessa. Käytännössä on näennäisesti loputon haavoittuvuus, jonka avulla Java-sovelmat voivat paeta hiekkalaatikosta ja ajaa karkeasti järjestelmän yli.
Oracle huomaa, että hiekkalaatikko on nyt periaatteessa rikki, joten hiekkalaatikko on nyt periaatteessa kuollut. He ovat luopuneet siitä. Oletuksena Java ei enää käytä "allekirjoittamattomia" sovelmia. Allekirjoittamattomien sovelmien ajaminen ei saisi olla ongelma, jos tietoturvahiekkalaatikko oli luotettava. Siksi ei yleensä ole ongelma ajaa mitään verkossa olevaa Adobe Flash -sisältöä. Vaikka Flashissa on haavoittuvuuksia, ne on korjattu, eikä Adobe luopu Flashin hiekkalaatikoista.
Java lataa oletusarvoisesti vain allekirjoitetut sovelmat. Se kuulostaa hyvältä, kuin hyvä tietoturvan parannus. Tässä on kuitenkin vakava seuraus. Kun Java-sovelma on allekirjoitettu, sitä pidetään luotettuna eikä se käytä hiekkalaatikkoa. Jaavan varoitusviestissä sanotaan:
"Tämä sovellus toimii rajoituksetta, mikä saattaa vaarantaa tietokoneen ja henkilökohtaiset tiedot."
Jopa Oraclen oma Java-versiotarkistussovellus - yksinkertainen pieni sovelma, joka suorittaa Java-sovelluksen tarkistamaan asennetun version ja kertoo, jos haluat päivittää - vaatii tämän täyden järjestelmän käyttöoikeuden. Se on täysin hullua.
Toisin sanoen Java on todella luopunut hiekkalaatikosta. Oletusarvoisesti et voi joko käyttää Java-sovelmaa tai käyttää sitä järjestelmän täydellä käyttöoikeudella. Hiekkalaatikkoa ei voi käyttää ellet muuta Java-suojausasetuksia. Hiekkalaatikko on niin epäluotettava, että jokainen online-kohtaamasi Java-koodi tarvitsee täyden pääsyn järjestelmään. Voit myös ladata Java-ohjelman ja suorittaa sen sen sijaan, että luottaisit selaimen laajennukseen, joka ei tarjoa lisäsuojausta, jonka se oli alun perin suunniteltu tarjoamaan.
Yhtenä Java-kehittäjänä selitti : "Oracle tappaa tarkoituksellisesti Java-suojauksen hiekkalaatikon teeskennellessään turvallisuuden parantamista."
Verkkoselaimet poistavat sen käytöstä itse
Onneksi verkkoselaimet pyrkivät korjaamaan Oraclen toimettomuuden. Vaikka Java-selaimen laajennus olisi asennettu ja käytössä, Chrome ja Firefox eivät lataa Java-sisältöä oletuksena. He käyttävät "click-to-play" Java-sisältöä.
Internet Explorer lataa edelleen Java-sisältöä automaattisesti. Internet Explorer on parantunut jonkin verran - se lopulta alkoi estää vanhentuneita, haavoittuvia ActiveX-komponentteja “Windows 8.1 August Update” (alias Windows 8.1 Update 2) elokuussa 2014. Chrome ja Firefox ovat tehneet tätä paljon kauemmin. Internet Explorer on täällä muiden selainten takana - jälleen.
Java-laajennuksen poistaminen käytöstä
Jokaisen, joka tarvitsee Java-asennuksen, tulisi ainakin poistaa laajennus Java-ohjauspaneelista. Uusimmissa Java-versioissa voit napauttaa Windows-näppäintä kerran avataksesi Käynnistä-valikon tai Käynnistä-näytön, kirjoittamalla “Java” ja napsauttamalla sitten ”Määritä Java” -pikakuvaketta. Poista Suojaus-välilehdessä Ota Java-sisältö käyttöön selaimessa -valintaruutu.
Jopa laajennuksen poistamisen jälkeen, Minecraft ja kaikki muut Java-ohjelmasta riippuvat työpöytäsovellukset toimivat hyvin. Tämä estää vain verkkosivuille upotetut Java-sovelmat.
Kyllä, Java-sovelmat ovat edelleen olemassa luonnossa. Löydät ne todennäköisesti yleisimmin sisäisiltä sivustoilta, joissa jollakin yrityksellä on muinainen sovellus kirjoitettu Java-sovelmana. Mutta Java-sovelmat ovat kuollut tekniikka, ja ne katoavat kuluttajaverkosta. Heidän piti kilpailla Flashin kanssa, mutta he hävisivät. Vaikka tarvitset Java-sovellusta, et todennäköisesti tarvitse laajennusta.
Satunnaisen yrityksen tai käyttäjän, joka tarvitsee Java-selainlaajennuksen, pitäisi mennä Java-ohjauspaneeliin ja valita se käyttöön. Laajennusta tulisi pitää vanhana yhteensopivuusvaihtoehtona.
