Java ansvarade för 91 procent av alla datorkompromisser under 2013. De flesta människor har inte bara plugin-programmet Java-webbläsare aktiverat - de använder en föråldrad, sårbar version. Hej Oracle - det är dags att inaktivera det här tillägget som standard.
Oracle vet att situationen är en katastrof. De har gett upp Java-tilläggets säkerhetssandlåda, som ursprungligen var utformad för att skydda dig från skadliga Java-appletar. Java-appletar på webben får fullständig åtkomst till ditt system med standardinställningarna.
Plugin-programmet Java-webbläsare är en fullständig katastrof
Java-försvarare tenderar att klaga när webbplatser som våra skriver att Java är extremt osäkert. "Det är bara webbläsarinsticksprogrammet", säger de och erkänner hur trasigt det är. Men det osäkra webbläsarinsticksprogrammet är aktiverat som standard i varje installation av Java där ute. Statistiken talar för sig själv. Även här på How-To Geek har 95 procent av våra icke-mobila besökare Java-plugin-programmet aktiverat. Och vi är en webbplats som hela tiden berättar för våra läsare avinstallera Java eller inaktivera åtminstone plugin-programmet .
Studier över hela världen visar att majoriteten av datorer med Java installerat har ett inaktuellt Java-webbläsarinsticksprogram tillgängligt för skadliga webbplatser att förstöra. År 2013 kom en studie av Websense Security Labs visade att 80 procent av datorerna hade föråldrade, sårbara versioner av Java. Även de mest välgörenhetsstudierna är läskiga - de brukar hävda att mer än 50 procent av Java-plugin-program är inaktuella.
Under 2014, Ciscos årliga säkerhetsrapport sa 91 procent av alla attacker 2013 var mot Java. Oracle försöker till och med dra nytta av detta problem genom att buntas den fruktansvärda Ask-verktygsfältet och annan skräpvara med Java-uppdateringar - håll dig snygg, Oracle.
Oracle gav upp sig på Java Plug-in's Sandboxing
Java-plugin-programmet kör ett Java-program - eller "Java-applet" - inbäddat på en webbsida, liknande det som Adobe Flash fungerar. Eftersom Java är ett komplext språk som används för allt från stationära applikationer till serverprogramvara, var plugin-programmet ursprungligen utformat för att köra dessa Java-program i en säker sandlåda . Detta skulle hindra dem från att göra otäcka saker mot ditt system, även om de försökte.
Det är i alla fall teorin. I praktiken finns det en till synes oändlig ström av sårbarheter som gör det möjligt för Java-appletar att fly från sandlådan och köra grovt över ditt system.
Oracle inser att sandlådan nu i grunden är trasig, så sandlådan är nu i princip död. De har gett upp det. Som standard kör Java inte längre "osignerade" applets. Att köra osignerade applets bör inte vara ett problem om säkerhetssandlådan var pålitlig - det är därför som det i allmänhet inte är ett problem att köra något Adobe Flash-innehåll som du hittar på webben. Även om det finns sårbarheter i Flash är de fixade och Adobe ger inte upp Flashs sandboxning.
Som standard laddar Java endast signerade applets. Det låter bra, som en bra säkerhetsförbättring. Det finns dock en allvarlig konsekvens här. När en Java-applet signeras anses den vara "betrodd" och den använder inte sandlådan. Som Java: s varningsmeddelande säger:
"Den här applikationen körs med obegränsad åtkomst vilket kan äventyra din dator och personlig information."
Till och med Oracles egen Java-versionskontrollapplet - en enkel liten applet som kör Java för att kontrollera din installerade version och berättar om du behöver uppdatera - kräver denna fullständiga systemåtkomst. Det är helt galen.
Med andra ord har Java verkligen gett upp sandlådan. Som standard kan du antingen inte köra en Java-applet eller köra den med full åtkomst till ditt system. Det finns inget sätt att använda sandlådan om du inte justerar Java: s säkerhetsinställningar. Sandlådan är så opålitlig att varje bit av Java-kod du stöter på online behöver full åtkomst till ditt system. Du kan lika gärna ladda ner ett Java-program och köra det istället för att förlita dig på webbläsarinsticksprogrammet, vilket inte erbjuder den extra säkerhet som det ursprungligen var designat för att ge.
Som en Java-utvecklare förklarade : "Oracle dödar avsiktligt Java-säkerhetssandlådan under förevändningen att förbättra säkerheten."
Webbläsare inaktiverar det på egen hand
Tack och lov tar webbläsare in för att åtgärda Orakles passivitet. Även om du har plugin-programmet Java-webbläsare installerat och aktiverat laddar inte Chrome och Firefox Java-innehåll som standard. De använder "klicka för att spela" för Java-innehåll.
Internet Explorer laddar fortfarande automatiskt Java-innehåll. Internet Explorer har förbättrats något - det började äntligen blockera föråldrade, sårbara ActiveX-kontroller tillsammans med “Uppdatering av Windows 8.1 augusti” (aka Windows 8.1 Update 2) i augusti 2014. Chrome och Firefox har gjort det mycket längre. Internet Explorer ligger här bakom andra webbläsare - igen.
Hur inaktiverar du Java Plug-in
Alla som behöver Java installerat bör åtminstone inaktivera plugin-programmet från Java-kontrollpanelen. Med de senaste versionerna av Java kan du trycka på Windows-tangenten en gång för att öppna Start-menyn eller Start-skärmen, skriv "Java" och klicka sedan på "Konfigurera Java" -genvägen. Avmarkera alternativet "Aktivera Java-innehåll i webbläsaren" på fliken Säkerhet.
Även efter att du inaktiverat plugin-programmet, Minecraft och alla andra stationära applikationer som är beroende av Java kommer att fungera bra. Detta blockerar bara Java-applets inbäddade på webbsidor.
Ja, Java-appletar finns fortfarande i naturen. Du hittar dem antagligen oftast på interna webbplatser där ett företag har en gammal applikation skriven som en Java-applet. Men Java-appletar är en död teknik och de försvinner från konsumentwebben. De skulle tävla med Flash, men de förlorade. Även om du behöver Java behöver du antagligen inte plugin-programmet.
Det enstaka företaget eller användaren som behöver plugin-programmet för Java-webbläsaren måste gå till Java: s kontrollpanel och välja att aktivera det. Plugin-programmet bör betraktas som ett äldre kompatibilitetsalternativ.
