2013'teki tüm bilgisayar güvenlik ihlallerinin yüzde 91'inden Java sorumluydu. Çoğu kişi yalnızca Java tarayıcı eklentisini etkinleştirmemiş, aynı zamanda güncel olmayan, savunmasız bir sürüm kullanıyorlar. Merhaba Oracle - bu eklentiyi varsayılan olarak devre dışı bırakmanın zamanı geldi.
Oracle, durumun bir felaket olduğunu biliyor. Başlangıçta sizi kötü amaçlı Java uygulamalarından korumak için tasarlanmış olan Java eklentisinin güvenlik korumalı alanından vazgeçtiler. Web üzerindeki Java uygulamaları, varsayılan ayarlarla sisteminize tam erişim sağlar.
Java Tarayıcı Eklentisi Tam Bir Felakettir
Java savunucuları, bizimki gibi siteler Java'nın aşırı derecede güvensiz olduğunu yazdığında şikayet etme eğilimindedir. "Bu sadece tarayıcı eklentisi," diyorlar ve ne kadar bozuk olduğunu kabul ediyorlar. Ancak bu güvensiz tarayıcı eklentisi, oradaki her Java yüklemesinde varsayılan olarak etkindir. İstatistikler kendileri için konuşuyor. How-To Geek'te bile, mobil olmayan ziyaretçilerimizin yüzde 95'inde Java eklentisi etkin durumda. Ve biz okuyucularımıza sürekli şunu söyleyen bir web sitesiyiz: Java'yı kaldır veya en azından eklentiyi devre dışı bırakın .
İnternet genelinde yapılan araştırmalar, Java yüklü bilgisayarların çoğunun kötü amaçlı web sitelerinin tahrip etmesi için kullanılabilen güncel olmayan bir Java tarayıcı eklentisine sahip olduğunu göstermeye devam ediyor. 2013 yılında Websense Security Labs tarafından yapılan çalışma bilgisayarların yüzde 80'inin güncel olmayan, savunmasız Java sürümlerine sahip olduğunu gösterdi. En hayırsever çalışmalar bile korkutucudur - Java eklentilerinin yüzde 50'sinden fazlasının güncel olmadığını iddia etme eğilimindedirler.
2014 yılında Cisco’nun yıllık güvenlik raporu 2013'teki tüm saldırıların yüzde 91'inin Java'ya yönelik olduğunu söyledi. Oracle, bu sorundan yararlanmaya bile çalışıyor korkunç Ask Araç Çubuğu ve Java güncellemelerine sahip diğer önemsiz yazılımlar - klas kalın, Oracle.
Oracle, Java Eklentisinin Korumalı Alanından Vazgeçti
Java eklentisi, Adobe Flash'ın çalışma şekline benzer şekilde bir web sayfasına gömülü bir Java programı - veya "Java uygulaması" çalıştırır. Java, masaüstü uygulamalarından sunucu yazılımına kadar her şey için kullanılan karmaşık bir dil olduğundan, eklenti başlangıçta bu Java programlarını güvenli bir sanal alan . Bu, deneseler bile sisteminize kötü şeyler yapmalarını engeller.
Her neyse, teori bu. Pratikte, Java uygulamalarının korumalı alandan kaçmasına ve sisteminiz üzerinde kaba bir şekilde çalışmasına olanak tanıyan görünüşte bitmeyen bir güvenlik açıkları akışı vardır.
Oracle, sandbox'ın artık temelde bozuk olduğunu fark etti, bu yüzden sandbox artık temelde öldü. Bundan vazgeçtiler. Varsayılan olarak, Java artık "imzasız" uygulamaları çalıştırmayacaktır. Güvenlik sanal alanı güvenilirse, imzasız uygulamaların çalıştırılması bir sorun olmamalıdır - bu nedenle, web'de bulduğunuz herhangi bir Adobe Flash içeriğini çalıştırmak genellikle bir sorun değildir. Flash'ta güvenlik açıkları olsa bile bunlar düzeltildi ve Adobe, Flash'ın korumalı alanından vazgeçmiyor.
Varsayılan olarak, Java yalnızca imzalı uygulamaları yükler. Kulağa hoş geliyor, iyi bir güvenlik iyileştirmesi gibi. Ancak burada ciddi bir sonuç var. Bir Java uygulaması imzalandığında, "güvenilir" olarak kabul edilir ve korumalı alanı kullanmaz. Java'nın uyarı mesajının da ifade ettiği gibi:
"Bu uygulama, bilgisayarınızı ve kişisel bilgilerinizi riske atabilecek sınırsız erişimle çalışacak."
Oracle’ın kendi Java sürüm kontrol küçük uygulaması (yüklü sürümünüzü kontrol etmek için Java çalıştıran ve güncellemeniz gerekip gerekmediğini size söyleyen basit bir küçük uygulama) bile bu tam sistem erişimini gerektirir. Bu tamamen delilik.
Diğer bir deyişle, Java sandbox'tan gerçekten vazgeçti. Varsayılan olarak, bir Java uygulaması çalıştıramazsınız veya sisteminize tam erişim ile çalıştıramazsınız. Java'nın güvenlik ayarlarını değiştirmediğiniz sürece korumalı alanı kullanmanın bir yolu yoktur. Sanal alan o kadar güvenilmez ki, çevrimiçi olarak karşılaştığınız her Java kodu, sisteminize tam erişime ihtiyaç duyar. Başlangıçta sağlamak üzere tasarlandığı ek güvenliği sunmayan tarayıcı eklentisine güvenmek yerine yalnızca bir Java programı indirip çalıştırabilirsiniz.
Tek bir Java geliştiricisi olarak açıkladı : "Oracle, güvenliği geliştirme bahanesiyle Java güvenlik sanal alanını kasıtlı olarak sonlandırıyor."
Web Tarayıcıları Kendi Başlarına Devre Dışı Bırakıyor
Neyse ki, web tarayıcıları Oracle’ın eylemsizliğini gidermek için devreye giriyor. Java tarayıcı eklentisi yükleyip etkinleştirmiş olsanız bile, Chrome ve Firefox varsayılan olarak Java içeriğini yüklemeyecektir. Java içeriği için "tıkla oynat" kullanırlar.
Internet Explorer, Java içeriğini otomatik olarak yüklemeye devam eder. Internet Explorer bir şekilde gelişti - sonunda güncel olmayan, savunmasız ActiveX denetimlerini ve "Windows 8.1 Ağustos Güncellemesi" (diğer adıyla Windows 8.1 Güncellemesi 2) Ağustos 2014'te. Chrome ve Firefox bunu çok daha uzun süredir yapıyor. Internet Explorer burada diğer tarayıcıların gerisinde kalıyor - yine.
Java Eklentisi Nasıl Devre Dışı Bırakılır
Java'nın yüklenmesine ihtiyaç duyan herkes, eklentiyi en azından java Denetim Masası'ndan devre dışı bırakmalıdır. Java'nın son sürümlerinde, Başlat menüsünü veya Başlat ekranını açmak için Windows tuşuna bir kez dokunabilir, "Java" yazabilir ve ardından "Java'yı Yapılandır" kısayoluna tıklayabilirsiniz. Güvenlik sekmesinde, "Tarayıcıda Java içeriğini etkinleştir" seçeneğinin işaretini kaldırın.
Eklentiyi devre dışı bıraktıktan sonra bile, Minecraft ve Java'ya bağlı diğer tüm masaüstü uygulamaları gayet iyi çalışacaktır. Bu, yalnızca web sayfalarına yerleştirilmiş Java uygulamalarını engeller.
Evet, Java uygulamaları hala vahşi ortamda var. Bunları muhtemelen en sık bazı şirketlerin Java uygulaması olarak yazılmış eski bir uygulamaya sahip olduğu dahili sitelerde bulacaksınız. Ancak Java apletleri ölü bir teknolojidir ve tüketici web'de kayboluyorlar. Flash ile rekabet etmeleri gerekiyordu, ancak kaybettiler. Java'ya ihtiyacınız olsa bile, muhtemelen eklentiye ihtiyacınız yoktur.
Java tarayıcı eklentisine ihtiyaç duyan zaman zaman şirket veya kullanıcının Java’nın Denetim Masasına gitmesi ve etkinleştirmeyi seçmesi gerekir. Eklenti, eski bir uyumluluk seçeneği olarak düşünülmelidir.
