Java foi responsável por 91 por cento de todos os comprometimentos de computador em 2013. A maioria das pessoas não apenas tem o plug-in do navegador Java habilitado - elas estão usando uma versão desatualizada e vulnerável. Ei, Oracle - é hora de desativar esse plug-in por padrão.
A Oracle sabe que a situação é um desastre. Eles desistiram da sandbox de segurança do plug-in Java, originalmente projetada para protegê-lo de miniaplicativos Java maliciosos. Os miniaplicativos Java na web obtêm acesso completo ao seu sistema com as configurações padrão.
O Java Browser Plug-in é um desastre completo
Os defensores do Java tendem a reclamar sempre que sites como o nosso escrevem que o Java é extremamente inseguro. “Isso é apenas o plug-in do navegador”, dizem eles - reconhecendo como está quebrado. Mas esse plug-in de navegador inseguro é ativado por padrão em todas as instalações de Java existentes. As estatísticas falam por si mesmas. Mesmo aqui no How-To Geek, 95 por cento de nossos visitantes não móveis têm o plug-in Java habilitado. E somos um site que continua dizendo aos nossos leitores para desinstale o Java ou pelo menos desabilite o plug-in .
Em toda a Internet, estudos mostram que a maioria dos computadores com Java instalado tem um plug-in de navegador Java desatualizado disponível para que sites maliciosos o destruam. Em 2013, um estudo do Websense Security Labs mostrou que 80 por cento dos computadores tinham versões desatualizadas e vulneráveis do Java. Mesmo os estudos mais caridosos são assustadores - eles tendem a afirmar que mais de 50% dos plug-ins Java estão desatualizados.
Em 2014, Relatório de segurança anual da Cisco disse que 91 por cento de todos os ataques em 2013 foram contra Java. A Oracle até tenta tirar vantagem desse problema agrupando a terrível Ask Toolbar e outros junkware com atualizações Java - mantenha a classe, Oracle.
A Oracle desistiu do sandbox do plug-in Java
O plug-in Java executa um programa Java - ou “miniaplicativo Java” - embutido em uma página da web, semelhante ao funcionamento do Adobe Flash. Como Java é uma linguagem complexa usada para tudo, desde aplicativos de desktop a software de servidor, o plug-in foi originalmente projetado para executar esses programas Java em uma caixa de areia segura . Isso os impediria de fazer coisas desagradáveis ao seu sistema, mesmo que tentassem.
Essa é a teoria, de qualquer maneira. Na prática, há um fluxo aparentemente interminável de vulnerabilidades que permite que os miniaplicativos Java escapem da caixa de proteção e executem o sistema de maneira brusca.
A Oracle percebe que o sandbox está basicamente quebrado, então o sandbox está basicamente morto. Eles desistiram disso. Por padrão, o Java não executará mais miniaplicativos “não assinados”. Executar miniaplicativos não assinados não deve ser um problema se a sandbox de segurança for confiável - é por isso que geralmente não é um problema executar qualquer conteúdo Adobe Flash que você encontra na web. Mesmo que haja vulnerabilidades no Flash, elas são corrigidas e a Adobe não desiste do sandbox do Flash.
Por padrão, o Java carregará apenas miniaplicativos assinados. Isso soa bem, como uma boa melhoria de segurança. No entanto, há uma consequência séria aqui. Quando um miniaplicativo Java é assinado, ele é considerado "confiável" e não usa a sandbox. Como diz a mensagem de aviso do Java:
“Este aplicativo será executado com acesso irrestrito, o que pode colocar seu computador e informações pessoais em risco.”
Até mesmo o miniaplicativo de verificação de versão Java da própria Oracle - um pequeno miniaplicativo simples que executa Java para verificar sua versão instalada e diz se você precisa atualizar - requer este acesso total ao sistema. Isso é completamente insano.
Em outras palavras, o Java realmente desistiu da sandbox. Por padrão, você não pode executar um miniaplicativo Java ou executá-lo com acesso total ao seu sistema. Não há como usar a sandbox, a menos que você ajuste as configurações de segurança do Java. A sandbox é tão pouco confiável que cada bit de código Java que você encontra online precisa de acesso total ao seu sistema. Você também pode baixar um programa Java e executá-lo em vez de depender do plug-in do navegador, que não oferece a segurança adicional que foi originalmente projetado para fornecer.
Como um desenvolvedor Java explicado : “A Oracle está intencionalmente eliminando a área de segurança do Java sob o pretexto de melhorar a segurança.”
Os navegadores da web estão desativando por conta própria
Felizmente, os navegadores da web estão entrando em ação para consertar a inatividade da Oracle. Mesmo se você tiver o plug-in do navegador Java instalado e ativado, o Chrome e o Firefox não carregam conteúdo Java por padrão. Eles usam “click-to-play” para conteúdo Java.
O Internet Explorer ainda carrega automaticamente o conteúdo Java. O Internet Explorer melhorou um pouco - ele finalmente começou a bloquear controles ActiveX desatualizados e vulneráveis junto com o “Atualização de agosto do Windows 8.1” (também conhecida como atualização 2 do Windows 8.1) em agosto de 2014. O Chrome e o Firefox fazem isso há muito mais tempo. O Internet Explorer está atrás de outros navegadores aqui - novamente.
Como desativar o plug-in Java
Todos que precisam do Java instalado devem pelo menos desabilitar o plug-in no painel de controle do java. Com as versões recentes do Java, você pode tocar na tecla Windows uma vez para abrir o menu Iniciar ou a tela Iniciar, digitar “Java” e clicar no atalho “Configurar Java”. Na guia Segurança, desmarque a opção “Ativar conteúdo Java no navegador”.
Mesmo depois de desativar o plug-in, Minecraft e qualquer outro aplicativo de desktop que dependa do Java funcionará perfeitamente. Isso bloqueará apenas miniaplicativos Java incorporados em páginas da web.
Sim, os miniaplicativos Java ainda existem à solta. Você provavelmente os encontrará com mais frequência em sites internos, onde alguma empresa tem um aplicativo antigo escrito como um miniaplicativo Java. Mas os applets Java são uma tecnologia morta e estão desaparecendo da web do consumidor. Eles deveriam competir com o Flash, mas perderam. Mesmo se você precisar do Java, provavelmente não precisa do plug-in.
A empresa ou usuário ocasional que precisa do plug-in do navegador Java deve acessar o Painel de controle do Java e escolher ativá-lo. O plug-in deve ser considerado uma opção de compatibilidade legada.
