Java była odpowiedzialna za 91 procent wszystkich włamań na komputery w 2013 r. Większość ludzi nie tylko ma włączoną wtyczkę przeglądarki Java - używa nieaktualnej, podatnej na ataki wersji. Hej, Oracle - najwyższy czas, aby domyślnie wyłączyć tę wtyczkę.
Oracle wie, że sytuacja jest katastrofą. Zrezygnowali z bezpiecznej piaskownicy wtyczki Java, która pierwotnie miała chronić Cię przed złośliwymi apletami Java. Aplety Java w sieci WWW zapewniają pełny dostęp do systemu z ustawieniami domyślnymi.
Wtyczka Java do przeglądarki to kompletna katastrofa
Obrońcy Javy zwykle narzekają, gdy strony takie jak nasza piszą, że Java jest wyjątkowo niebezpieczna. „To tylko wtyczka do przeglądarki” - mówią - przyznając, że jest zepsuta. Ale ta niezabezpieczona wtyczka przeglądarki jest domyślnie włączona w każdej instalacji Javy. Statystyki mówią same za siebie. Nawet tutaj, w How-To Geek, 95 procent naszych odwiedzających niemobilnych ma włączoną wtyczkę Java. Jesteśmy stroną internetową, która nieustannie mówi naszym czytelnikom odinstaluj Javę lub przynajmniej wyłącz wtyczkę .
Badania w całym Internecie pokazują, że większość komputerów z zainstalowaną Javą ma przestarzałą wtyczkę przeglądarki Java, która umożliwia niszczenie złośliwych witryn internetowych. W 2013 r badanie przeprowadzone przez Websense Security Labs wykazało, że 80 procent komputerów miało nieaktualne, podatne na ataki wersje Javy. Nawet najbardziej charytatywne badania są przerażające - zwykle twierdzą, że ponad 50 procent wtyczek Java jest nieaktualnych.
W 2014, Roczny raport bezpieczeństwa firmy Cisco powiedział, że 91% wszystkich ataków w 2013 r. dotyczyło języka Java. Oracle próbuje nawet wykorzystać ten problem poprzez sprzedaż wiązaną straszny pasek narzędzi Ask i inne oprogramowanie typu junkware z aktualizacjami Javy - zachowaj klasę, Oracle.
Firma Oracle zrezygnowała z piaskownicy wtyczki Java
Wtyczka Java uruchamia program Java - lub „aplet Java” - osadzony na stronie internetowej, podobnie jak działa Adobe Flash. Ponieważ Java jest złożonym językiem używanym do wszystkiego, od aplikacji komputerowych po oprogramowanie serwerowe, wtyczka została pierwotnie zaprojektowana do uruchamiania tych programów Java w bezpieczna piaskownica . Uniemożliwiłoby im to robienie nieprzyjemnych rzeczy w systemie, nawet gdyby próbowali.
W każdym razie taka jest teoria. W praktyce istnieje pozornie niekończący się strumień luk w zabezpieczeniach, które pozwalają apletom Javy na ucieczkę z piaskownicy i wykonanie surowej pracy w systemie.
Oracle zdaje sobie sprawę, że piaskownica jest teraz zasadniczo zepsuta, więc piaskownica jest teraz w zasadzie martwa. Zrezygnowali z tego. Domyślnie Java nie będzie już uruchamiać „niepodpisanych” apletów. Uruchamianie niepodpisanych apletów nie powinno stanowić problemu, jeśli bezpieczna piaskownica była godna zaufania - dlatego generalnie uruchamianie treści Adobe Flash, które można znaleźć w sieci, nie stanowi problemu. Nawet jeśli istnieją luki we Flashu, zostały one naprawione, a Adobe nie rezygnuje z piaskownicy Flash.
Domyślnie Java ładuje tylko podpisane aplety. Brzmi dobrze, jak dobra poprawa bezpieczeństwa. Jednak jest tutaj poważna konsekwencja. Podpisany aplet Java jest uznawany za „zaufany” i nie korzysta z piaskownicy. Jak mówi ostrzeżenie Javy:
„Ta aplikacja będzie działać z nieograniczonym dostępem, co może stanowić zagrożenie dla Twojego komputera i danych osobowych”.
Nawet własny aplet do sprawdzania wersji Java firmy Oracle - prosty, mały aplet, który uruchamia Javę w celu sprawdzenia zainstalowanej wersji i informuje o konieczności aktualizacji - wymaga pełnego dostępu do systemu. To całkowicie szalone.
Innymi słowy, Java naprawdę zrezygnowała z piaskownicy. Domyślnie nie możesz uruchomić apletu Java lub uruchomić go z pełnym dostępem do systemu. Nie ma możliwości korzystania z piaskownicy, chyba że zmodyfikujesz ustawienia zabezpieczeń Javy. Piaskownica jest tak niewiarygodna, że każdy fragment kodu Java, który napotkasz online, wymaga pełnego dostępu do twojego systemu. Równie dobrze możesz po prostu pobrać program w języku Java i uruchomić go, zamiast polegać na wtyczce przeglądarki, która nie zapewnia dodatkowego bezpieczeństwa, do którego zapewnienia została pierwotnie zaprojektowana.
Jako jeden programista Java wyjaśnił : „Oracle celowo zabija bezpieczną piaskownicę Java pod pretekstem poprawy bezpieczeństwa”.
Przeglądarki internetowe same go wyłączają
Na szczęście przeglądarki internetowe wkraczają, aby naprawić brak działania Oracle. Nawet jeśli masz zainstalowaną i włączoną wtyczkę przeglądarki Java, Chrome i Firefox nie będą domyślnie ładować treści Java. W przypadku treści Java używają technologii „kliknij, aby odtworzyć”.
Internet Explorer nadal automatycznie ładuje zawartość Java. Internet Explorer nieco się poprawił - w końcu zaczął blokować nieaktualne, podatne na ataki formanty ActiveX wraz z rozszerzeniem „Windows 8.1 August Update” (inaczej Windows 8.1 Update 2) w sierpniu 2014 r. Chrome i Firefox robią to znacznie dłużej. Internet Explorer jest tutaj za innymi przeglądarkami - znowu.
Jak wyłączyć wtyczkę Java
Każdy, kto potrzebuje zainstalowanej Javy, powinien przynajmniej wyłączyć wtyczkę z java Control Panel. W najnowszych wersjach oprogramowania Java można raz nacisnąć klawisz Windows, aby otworzyć menu Start lub ekran Start, wpisać „Java”, a następnie kliknąć skrót „Konfiguruj Javę”. Na karcie Zabezpieczenia usuń zaznaczenie opcji „Włącz zawartość Java w przeglądarce”.
Nawet po wyłączeniu wtyczki Minecraft a każda inna aplikacja komputerowa, która zależy od języka Java, będzie działać dobrze. Spowoduje to zablokowanie tylko apletów Java osadzonych na stronach internetowych.
Tak, aplety Java nadal istnieją w środowisku naturalnym. Prawdopodobnie znajdziesz je najczęściej w witrynach wewnętrznych, w których jakaś firma ma starą aplikację napisaną jako aplet Javy. Ale aplety Java to martwa technologia i znikają z sieci konsumenckiej. Mieli rywalizować z Flash, ale przegrali. Nawet jeśli potrzebujesz Javy, prawdopodobnie nie potrzebujesz wtyczki.
Okazjonalna firma lub użytkownik, który potrzebuje wtyczki przeglądarki Java, powinien przejść do Panelu sterowania Java i wybrać opcję włączenia. Wtyczkę należy traktować jako starszą opcję zgodności.
