Java è stato responsabile del 91% di tutti i computer compromessi nel 2013. La maggior parte delle persone non solo ha abilitato il plug-in del browser Java, ma utilizza una versione obsoleta e vulnerabile. Ehi, Oracle, è ora di disabilitare quel plug-in per impostazione predefinita.
Oracle sa che la situazione è un disastro. Hanno rinunciato alla sandbox di sicurezza del plug-in Java, originariamente progettato per proteggerti da applet Java dannose. Le applet Java sul Web ottengono l'accesso completo al sistema con le impostazioni predefinite.
Il plug-in del browser Java è un disastro completo
I difensori di Java tendono a lamentarsi ogni volta che siti come il nostro scrivono che Java è estremamente insicuro. "Questo è solo il plug-in del browser", dicono, riconoscendo quanto sia rotto. Ma quel plug-in del browser non sicuro è abilitato per impostazione predefinita in ogni singola installazione di Java disponibile. Le statistiche parlano da sole. Anche qui su How-To Geek, il 95 percento dei nostri visitatori non mobili ha abilitato il plug-in Java. E siamo un sito web che continua a dirlo ai nostri lettori disinstallare Java o almeno disabilitare il plug-in .
A livello di Internet, gli studi continuano a dimostrare che la maggior parte dei computer con Java installato dispone di un plug-in del browser Java obsoleto disponibile per i siti Web dannosi da devastare. Nel 2013, a studio di Websense Security Labs ha mostrato che l'80% dei computer aveva versioni di Java obsolete e vulnerabili. Anche gli studi più caritatevoli fanno paura: tendono a sostenere che oltre il 50% dei plug-in Java non sono aggiornati.
In 2014, Rapporto annuale sulla sicurezza di Cisco ha affermato che il 91% di tutti gli attacchi nel 2013 erano contro Java. Oracle cerca persino di trarre vantaggio da questo problema raggruppando la terribile Ask Toolbar e altri junkware con aggiornamenti Java: rimani elegante, Oracle.
Oracle ha rinunciato al sandboxing del plug-in Java
Il plug-in Java esegue un programma Java, o "applet Java", incorporato in una pagina Web, in modo simile a come funziona Adobe Flash. Poiché Java è un linguaggio complesso utilizzato per qualsiasi cosa, dalle applicazioni desktop al software server, il plug-in è stato originariamente progettato per eseguire questi programmi Java in una sandbox sicura . Ciò impedirebbe loro di fare cose brutte al tuo sistema, anche se ci provassero.
Questa è la teoria, comunque. In pratica, esiste un flusso apparentemente infinito di vulnerabilità che consente alle applet Java di sfuggire alla sandbox e di eseguire il controllo del sistema.
Oracle si rende conto che il sandbox è ora praticamente rotto, quindi il sandbox è ora praticamente morto. Ci hanno rinunciato. Per impostazione predefinita, Java non eseguirà più applet "non firmate". L'esecuzione di applet non firmate non dovrebbe essere un problema se la sandbox di sicurezza era affidabile, ecco perché generalmente non è un problema eseguire qualsiasi contenuto Adobe Flash che trovi sul Web. Anche se sono presenti vulnerabilità in Flash, vengono risolte e Adobe non rinuncia al sandboxing di Flash.
Per impostazione predefinita, Java caricherà solo applet firmate. Suona bene, come un buon miglioramento della sicurezza. Tuttavia, qui c'è una grave conseguenza. Quando un'applet Java viene firmata, viene considerata "affidabile" e non utilizza la sandbox. Come afferma il messaggio di avviso di Java:
"Questa applicazione verrà eseguita con accesso illimitato, il che potrebbe mettere a rischio il computer e le informazioni personali."
Anche l'applet di controllo della versione Java di Oracle, una piccola applet semplice che esegue Java per verificare la versione installata e ti dice se è necessario eseguire l'aggiornamento, richiede questo accesso completo al sistema. È completamente folle.
In altre parole, Java ha davvero rinunciato alla sandbox. Per impostazione predefinita, non è possibile eseguire un'applet Java o eseguirla con pieno accesso al sistema. Non è possibile utilizzare la sandbox a meno che non modifichi le impostazioni di sicurezza di Java. La sandbox è così inaffidabile che ogni bit di codice Java che incontri online richiede pieno accesso al tuo sistema. Potresti anche scaricare un programma Java ed eseguirlo piuttosto che fare affidamento sul plug-in del browser, che non offre la sicurezza aggiuntiva per cui era stato originariamente progettato.
Come uno sviluppatore Java spiegato : "Oracle sta intenzionalmente eliminando la sandbox di sicurezza Java con la scusa di migliorare la sicurezza."
I browser Web lo disattivano da soli
Per fortuna, i browser web stanno intervenendo per correggere l'inazione di Oracle. Anche se il plug-in del browser Java è installato e abilitato, Chrome e Firefox non caricheranno i contenuti Java per impostazione predefinita. Usano "click-to-play" per i contenuti Java.
Internet Explorer carica ancora automaticamente il contenuto Java. Internet Explorer è leggermente migliorato: finalmente ha iniziato a bloccare i controlli ActiveX obsoleti e vulnerabili insieme a "Windows 8.1 August Update" (noto anche come Windows 8.1 Update 2) nell'agosto 2014. Chrome e Firefox lo fanno da molto più tempo. Internet Explorer è dietro altri browser qui - di nuovo.
Come disabilitare il plug-in Java
Chiunque abbia bisogno di Java installato dovrebbe almeno disabilitare il plug-in dal java Control Panel. Con le versioni recenti di Java, è possibile toccare una volta il tasto Windows per aprire il menu Start o la schermata Start, digitare "Java" e quindi fare clic sul collegamento "Configura Java". Nella scheda Sicurezza, deseleziona l'opzione "Abilita contenuto Java nel browser".
Anche dopo aver disabilitato il plug-in, Minecraft e qualsiasi altra applicazione desktop che dipende da Java funzionerà perfettamente. Ciò bloccherà solo gli applet Java incorporati nelle pagine web.
Sì, le applet Java esistono ancora allo stato brado. Probabilmente li troverai più frequentemente su siti interni in cui alcune aziende hanno un'antica applicazione scritta come applet Java. Ma le applet Java sono una tecnologia morta e stanno scomparendo dal Web consumer. Avrebbero dovuto competere con Flash, ma hanno perso. Anche se hai bisogno di Java, probabilmente non hai bisogno del plug-in.
L'azienda o l'utente occasionale che necessita del plug-in del browser Java deve accedere al pannello di controllo di Java e scegliere di abilitarlo. Il plug-in deve essere considerato un'opzione di compatibilità legacy.
