2013 में सभी कंप्यूटर समझौतों में से 91 प्रतिशत के लिए जावा जिम्मेदार था। अधिकांश लोगों के पास न केवल जावा ब्राउज़र प्लग-इन सक्षम है - वे एक आउट-ऑफ-डेट, असुरक्षित संस्करण का उपयोग कर रहे हैं। हे, ओरेकल - यह डिफ़ॉल्ट रूप से उस प्लग-इन को अक्षम करने का समय है।
ओरेकल जानता है कि स्थिति एक आपदा है। वे जावा प्लग-इन के सुरक्षा सैंडबॉक्स पर छोड़ दिए गए हैं, जो मूल रूप से आपको दुर्भावनापूर्ण जावा एप्लेट से बचाने के लिए डिज़ाइन किया गया है। वेब पर जावा एप्लेट्स डिफ़ॉल्ट सेटिंग्स के साथ आपके सिस्टम तक पूरी पहुँच प्राप्त करते हैं।
जावा ब्राउज़र प्लग-इन एक पूर्ण आपदा है
जब भी हमारी जैसी साइटें लिखती हैं कि जावा के रक्षक शिकायत करते हैं कि जावा बेहद असुरक्षित है। "यह सिर्फ ब्राउज़र प्लग-इन है," वे कहते हैं - यह स्वीकार करते हुए कि यह कितना टूटा हुआ है। लेकिन वह असुरक्षित ब्राउज़र प्लग-इन जावा के हर एक इंस्टॉलेशन में डिफ़ॉल्ट रूप से सक्षम है। आंकड़े अपने लिए बोलते हैं। यहां तक कि कैसे-कैसे गीक पर, हमारे गैर-मोबाइल आगंतुकों में से 95 प्रतिशत में जावा प्लग-इन सक्षम है। और हम एक ऐसी वेबसाइट हैं जो हमारे पाठकों को बताती रहती है जावा की स्थापना रद्द करें या कम से कम प्लग-इन को अक्षम करें .
इंटरनेट-वाइड, अध्ययन बताते हैं कि स्थापित जावा के अधिकांश कंप्यूटरों में दुर्भावनापूर्ण वेबसाइटों को नष्ट करने के लिए जावा ब्राउज़र प्लग-इन उपलब्ध है। 2013 में, ए Websense Security Labs द्वारा अध्ययन पता चला कि 80 प्रतिशत कंप्यूटरों में जावा के कमजोर संस्करण थे। यहां तक कि सबसे धर्मार्थ अध्ययन डरावने हैं - वे दावा करते हैं कि 50 प्रतिशत से अधिक जावा प्लग-इन पुराने हैं।
2014 में, सिस्को की वार्षिक सुरक्षा रिपोर्ट 2013 में हुए हमलों में से 91 प्रतिशत जावा के खिलाफ थे। ओरेकल भी इस समस्या का फायदा उठाने की कोशिश करता है भयानक पूछो टूलबार और जावा अपडेट के साथ अन्य जंकवेयर - उत्तम दर्जे का, ओरेकल रहें।
जावा प्लग-इन के सैंडबॉक्सिंग पर ओरेकल दिया गया
जावा प्लग-इन एक जावा प्रोग्राम चलाता है - या "जावा एप्लेट" - एडोब फ्लैश कैसे काम करता है, इसी तरह एक वेब पेज पर एम्बेडेड है। क्योंकि जावा एक जटिल भाषा है जो डेस्कटॉप एप्लिकेशन से सर्वर सॉफ्टवेयर तक सब कुछ के लिए उपयोग की जाती है, प्लग-इन मूल रूप से इन जावा प्रोग्राम को चलाने के लिए डिज़ाइन किया गया था एक सुरक्षित सैंडबॉक्स । यह उन्हें आपके सिस्टम के लिए गंदा काम करने से रोकेगा, भले ही उन्होंने कोशिश की हो।
वैसे भी यह सिद्धांत है। व्यवहार में, कमजोरियों की एक कभी-न-कभी समाप्त होने वाली धारा है जो जावा एप्लेट को सैंडबॉक्स से बचने और अपने सिस्टम पर रफशॉट चलाने की अनुमति देती है।
ओरेकल को एहसास हुआ कि सैंडबॉक्स अब मूल रूप से टूट गया है, इसलिए सैंडबॉक्स अब मूल रूप से मर चुका है। उन्होंने इस पर ध्यान दिया है डिफ़ॉल्ट रूप से, जावा अब "अहस्ताक्षरित" एप्लेट नहीं चलाएगा। यदि सुरक्षा सैंडबॉक्स भरोसेमंद था, तो अहस्ताक्षरित एप्लेट चलाना कोई समस्या नहीं होनी चाहिए - यही कारण है कि यह आमतौर पर वेब पर आपके द्वारा खोजे जाने वाले किसी भी एडोब फ्लैश सामग्री को चलाने के लिए समस्या नहीं है। यहां तक कि अगर फ्लैश में भेद्यताएं हैं, तो वे निश्चित नहीं हैं और एडोब फ्लैश के सैंडबॉक्सिंग पर हार नहीं मानता है।
डिफ़ॉल्ट रूप से, जावा केवल हस्ताक्षरित एप्लेट लोड करेगा। यह एक अच्छा सुरक्षा सुधार की तरह ठीक लगता है। हालाँकि, यहाँ एक गंभीर परिणाम है। जब जावा एप्लेट पर हस्ताक्षर किए जाते हैं, तो इसे "विश्वसनीय" माना जाता है और यह सैंडबॉक्स का उपयोग नहीं करता है। जैसा कि जावा का चेतावनी संदेश डालता है:
"यह एप्लिकेशन अप्रतिबंधित पहुंच के साथ चलेगा जो आपके कंप्यूटर और व्यक्तिगत जानकारी को खतरे में डाल सकता है।"
यहां तक कि ओरेकल का अपना जावा संस्करण चेक एप्लेट - एक साधारण सा एपलेट जो आपके इंस्टॉल किए गए संस्करण की जांच करने के लिए जावा चलाता है और आपको बताता है कि क्या आपको अपडेट करने की आवश्यकता है - इसके लिए पूर्ण सिस्टम एक्सेस की आवश्यकता है। यह पूरी तरह से पागल है।
दूसरे शब्दों में, जावा ने वास्तव में सैंडबॉक्स पर छोड़ दिया है। डिफ़ॉल्ट रूप से, आप या तो जावा एप्लेट नहीं चला सकते हैं या इसे अपने सिस्टम तक पूरी पहुंच के साथ चला सकते हैं। जब तक आप जावा की सुरक्षा सेटिंग्स को ट्विक नहीं करते, सैंडबॉक्स का उपयोग करने का कोई तरीका नहीं है। सैंडबॉक्स इतना अविश्वसनीय है कि आपके द्वारा ऑनलाइन किए जाने वाले जावा कोड के प्रत्येक बिट को आपके सिस्टम तक पूर्ण पहुंच की आवश्यकता होती है। आप केवल एक जावा प्रोग्राम डाउनलोड कर सकते हैं और ब्राउज़र प्लग-इन पर निर्भर होने के बजाय इसे चला सकते हैं, जो मूल रूप से प्रदान करने के लिए डिज़ाइन की गई अतिरिक्त सुरक्षा की पेशकश नहीं करता है।
एक जावा डेवलपर के रूप में व्याख्या की : "Oracle जानबूझकर सुरक्षा में सुधार के बहाने जावा सुरक्षा सैंडबॉक्स को मार रहा है।"
वेब ब्राउजर इसे खुद ही डिसेबल कर रहे हैं
शुक्र है कि ओरेकल की निष्क्रियता को ठीक करने के लिए वेब ब्राउज़र कदम बढ़ा रहे हैं। यहां तक कि अगर आपके पास जावा ब्राउज़र प्लग-इन स्थापित और सक्षम है, तो क्रोम और फ़ायरफ़ॉक्स डिफ़ॉल्ट रूप से जावा सामग्री को लोड नहीं करते हैं। वे जावा सामग्री के लिए "क्लिक-टू-प्ले" का उपयोग करते हैं।
इंटरनेट एक्सप्लोरर अभी भी स्वचालित रूप से जावा सामग्री को लोड करता है। इंटरनेट एक्सप्लोरर में कुछ हद तक सुधार हुआ है - यह अंत में आउट-ऑफ-डेट, कमजोर ActiveX नियंत्रण के साथ-साथ अवरुद्ध करना शुरू कर दिया "विंडोज 8.1 अगस्त अपडेट" (उर्फ विंडोज 8.1 अपडेट 2) अगस्त, 2014 में। क्रोम और फ़ायरफ़ॉक्स लंबे समय से ऐसा कर रहे हैं। इंटरनेट एक्सप्लोरर यहां अन्य ब्राउज़रों के पीछे है - फिर से।
जावा प्लग-इन को कैसे अक्षम करें
जिन लोगों को जावा स्थापित करने की आवश्यकता है, उन्हें कम से कम जावा कंट्रोल पैनल से प्लग-इन को अक्षम करना चाहिए। जावा के हाल के संस्करणों के साथ, आप प्रारंभ मेनू या स्टार्ट स्क्रीन खोलने के लिए एक बार विंडोज की को टैप कर सकते हैं, "जावा" टाइप करें और फिर "कॉन्फ़िगर जावा" शॉर्टकट पर क्लिक करें। सुरक्षा टैब पर, "ब्राउज़र में जावा सामग्री सक्षम करें" विकल्प को अनचेक करें।
प्लग-इन अक्षम करने के बाद भी, Minecraft और जावा पर निर्भर करता है कि किसी भी अन्य डेस्कटॉप अनुप्रयोग सिर्फ ठीक चलेगा। यह केवल वेब पेजों पर एम्बेडेड जावा एप्लेट को ब्लॉक करेगा।
हां, जावा एप्लेट अभी भी जंगली में मौजूद हैं। आप शायद उन्हें सबसे अधिक बार आंतरिक साइटों पर पाएंगे जहां कुछ कंपनी के पास जावा एपलेट के रूप में लिखा गया एक प्राचीन अनुप्रयोग है। लेकिन जावा एप्लेट एक मृत तकनीक है और वे उपभोक्ता वेब से गायब हो रहे हैं। वे फ्लैश के साथ प्रतिस्पर्धा करने वाले थे, लेकिन वे हार गए। यहां तक कि अगर आपको जावा की आवश्यकता है, तो शायद आपको प्लग-इन की आवश्यकता नहीं है।
जिस सामयिक कंपनी या उपयोगकर्ता को जावा ब्राउज़र प्लग-इन की आवश्यकता होती है, उसे जावा के नियंत्रण कक्ष में जाना चाहिए और इसे सक्षम करने के लिए चुनना चाहिए। प्लग-इन को एक विरासत संगतता विकल्प माना जाना चाहिए।
