Java was verantwoordelijk voor 91 procent van alle computercompromissen in 2013. De meeste mensen hebben niet alleen de Java-browserplug-in ingeschakeld, ze gebruiken ook een verouderde, kwetsbare versie. Hé, Oracle - het is tijd om die plug-in standaard uit te schakelen.
Oracle weet dat de situatie een ramp is. Ze hebben de beveiligingssandbox van de Java-plug-in opgegeven, die oorspronkelijk was ontworpen om u te beschermen tegen kwaadwillende Java-applets. Java-applets op internet krijgen volledige toegang tot uw systeem met de standaardinstellingen.
De Java Browser Plug-in is een complete ramp
Verdedigers van Java hebben de neiging om te klagen wanneer sites zoals de onze schrijven dat Java buitengewoon onveilig is. "Dat is slechts de browserplug-in", zeggen ze, terwijl ze erkennen hoe kapot deze is. Maar die onveilige browserplug-in is standaard ingeschakeld in elke afzonderlijke installatie van Java die er is. De statistieken spreken voor zich. Zelfs hier bij How-To Geek heeft 95 procent van onze niet-mobiele bezoekers de Java-plug-in ingeschakeld. En we zijn een website die het onze lezers blijft vertellen verwijder Java of schakel in ieder geval de plug-in uit .
Uit onderzoeken op internet blijkt steeds dat de meeste computers waarop Java is geïnstalleerd, een verouderde Java-browserplug-in hebben die door kwaadaardige websites kan worden verwoest. In 2013 heeft een onderzoek door Websense Security Labs toonde aan dat 80 procent van de computers verouderde, kwetsbare versies van Java had. Zelfs de meest liefdadigheidsstudies zijn beangstigend - ze hebben de neiging om te beweren dat meer dan 50 procent van de Java-plug-ins verouderd is.
In 2014, Cisco's jaarlijkse beveiligingsrapport zei dat 91 procent van alle aanvallen in 2013 tegen Java waren gericht. Oracle probeert zelfs van dit probleem te profiteren door te bundelen de vreselijke Ask-werkbalk en andere junkware met Java-updates - blijf stijlvol, Oracle.
Oracle heeft de sandboxing van de Java-plug-in opgegeven
De Java-plug-in voert een Java-programma - of "Java-applet" - uit dat is ingesloten op een webpagina, vergelijkbaar met hoe Adobe Flash werkt. Omdat Java een complexe taal is die voor alles wordt gebruikt, van desktoptoepassingen tot serversoftware, is de plug-in oorspronkelijk ontworpen om deze Java-programma's in een veilige sandbox . Dit zou voorkomen dat ze nare dingen met uw systeem doen, zelfs als ze het zouden proberen.
Dat is in ieder geval de theorie. In de praktijk is er een schijnbaar oneindige stroom van kwetsbaarheden waardoor Java-applets uit de sandbox kunnen ontsnappen en ruw over uw systeem kunnen lopen.
Oracle realiseert zich dat de sandbox nu in feite kapot is, dus de sandbox is nu in feite dood. Ze hebben het opgegeven. Standaard voert Java niet langer "niet-ondertekende" applets uit. Het uitvoeren van niet-ondertekende applets zou geen probleem moeten zijn als de beveiligingssandbox betrouwbaar was. Daarom is het over het algemeen geen probleem om Adobe Flash-inhoud uit te voeren die u op internet vindt. Zelfs als er kwetsbaarheden in Flash zijn, zijn ze opgelost en geeft Adobe de sandboxing van Flash niet op.
Standaard laadt Java alleen ondertekende applets. Dat klinkt prima, als een goede beveiligingsverbetering. Dit heeft echter een ernstig gevolg. Wanneer een Java-applet is ondertekend, wordt deze als 'vertrouwd' beschouwd en wordt de sandbox niet gebruikt. Zoals het waarschuwingsbericht van Java zegt:
"Deze applicatie werkt met onbeperkte toegang, waardoor uw computer en persoonlijke gegevens in gevaar kunnen komen."
Zelfs Oracle's eigen Java-versiecontrole-applet - een eenvoudige kleine applet die Java uitvoert om uw geïnstalleerde versie te controleren en u vertelt of u moet updaten - vereist deze volledige systeemtoegang. Dat is helemaal gek.
Met andere woorden, Java heeft de sandbox echt opgegeven. Standaard kunt u geen Java-applet uitvoeren of deze uitvoeren met volledige toegang tot uw systeem. Er is geen manier om de sandbox te gebruiken, tenzij u de beveiligingsinstellingen van Java aanpast. De sandbox is zo onbetrouwbaar dat elk stukje Java-code dat u online tegenkomt, volledige toegang tot uw systeem nodig heeft. U kunt net zo goed gewoon een Java-programma downloaden en het uitvoeren in plaats van te vertrouwen op de browserinvoegtoepassing, die niet de extra beveiliging biedt waarvoor het oorspronkelijk was ontworpen.
Als een Java-ontwikkelaar uitgelegd : "Oracle doodt met opzet de Java-beveiligingssandbox onder het voorwendsel de beveiliging te verbeteren."
Webbrowsers schakelen het zelf uit
Gelukkig komen webbrowsers tussenbeide om de passiviteit van Oracle te verhelpen. Zelfs als u de Java-browserplug-in heeft geïnstalleerd en ingeschakeld, laden Chrome en Firefox standaard geen Java-inhoud. Ze gebruiken "click-to-play" voor Java-inhoud.
Internet Explorer laadt nog steeds automatisch Java-inhoud. Internet Explorer is enigszins verbeterd - het begon eindelijk met het blokkeren van verouderde, kwetsbare ActiveX-besturingselementen samen met de "Windows 8.1 augustus Update" (ook bekend als Windows 8.1 Update 2) in augustus 2014. Chrome en Firefox doen dit al veel langer. Internet Explorer zit hier achter andere browsers - nogmaals.
Hoe de Java-plug-in uit te schakelen
Iedereen die Java moet installeren, moet de plug-in op zijn minst uitschakelen via het Java-configuratiescherm. Met recente versies van Java kunt u eenmaal op de Windows-toets tikken om het menu Start of het startscherm te openen, "Java" typen en vervolgens op de snelkoppeling "Java configureren" klikken. Schakel op het tabblad Beveiliging de optie "Java-inhoud in de browser inschakelen" uit.
Zelfs nadat u de plug-in heeft uitgeschakeld, Minecraft en elke andere desktop-applicatie die afhankelijk is van Java zal prima werken. Hiermee worden alleen Java-applets geblokkeerd die op webpagina's zijn ingesloten.
Ja, Java-applets bestaan nog steeds in het wild. U zult ze waarschijnlijk het vaakst vinden op interne sites waar een bedrijf een oude applicatie heeft geschreven als een Java-applet. Maar Java-applets zijn een dode technologie en ze verdwijnen van het consumentenweb. Ze moesten concurreren met Flash, maar ze verloren. Zelfs als u Java nodig heeft, heeft u de plug-in waarschijnlijk niet nodig.
Het incidentele bedrijf of de gebruiker die de Java-browserplug-in nodig heeft, moet naar het configuratiescherm van Java gaan en ervoor kiezen om het in te schakelen. De plug-in moet worden beschouwd als een oudere compatibiliteitsoptie.
