У 2013 році Java спричинила 91 відсоток усіх комп’ютерних компромісів. Більшість людей не тільки ввімкнули плагін для браузера Java - вони використовують застарілу, вразливу версію. Гей, Oracle - час за умовчанням вимкнути цей плагін.
Oracle знає, що ситуація є катастрофою. Вони відмовилися від пісочниці безпеки плагіна Java, спочатку розробленої для захисту від зловмисних аплетів Java. Аплети Java в Інтернеті отримують повний доступ до вашої системи із налаштуваннями за замовчуванням.
Плагін Java Browser - це повне лихо
Захисники Java, як правило, скаржаться, коли такі сайти, як наш, пишуть, що Java надзвичайно небезпечна. "Це лише плагін браузера", - кажуть вони, визнаючи, наскільки він зламаний. Але цей незахищений плагін браузера вмикається за замовчуванням при кожному окремому встановленні Java. Статистика говорить сама за себе. Навіть тут, у How-To Geek, у 95 відсотків наших немобільних відвідувачів увімкнено плагін Java. І ми - веб-сайт, який постійно повідомляє читачам видалити Java або принаймні відключити плагін .
Дослідження в Інтернеті постійно показують, що більшість комп’ютерів із встановленою Java мають застарілий плагін для браузера Java, доступний для шкідливих веб-сайтів. У 2013 році a дослідження Websense Security Labs показав, що 80 відсотків комп'ютерів мають застарілі, вразливі версії Java. Навіть самі благодійні дослідження лякають - вони, як правило, заявляють, що понад 50 відсотків плагінів Java застаріли.
У 2014 році Щорічний звіт безпеки Cisco сказав, що 91 відсоток усіх атак у 2013 році був проти Java. Oracle навіть намагається скористатися цією проблемою шляхом групування страшна панель інструментів Ask та інші небажані програми з оновленнями Java - залишайтеся стильним, Oracle.
Oracle відмовився від пісочниці плагіна Java
Плагін Java запускає програму Java - або “аплет Java” - вбудовану на веб-сторінку, подібно до того, як працює Adobe Flash. Оскільки Java є складною мовою, що використовується для всього, від настільних додатків до серверного програмного забезпечення, плагін спочатку був розроблений для запуску цих програм Java у безпечна пісочниця . Це завадило б їм робити неприємні дії з вашою системою, навіть якщо вони намагалися.
У будь-якому випадку, це теорія. На практиці існує, здавалося б, нескінченний потік вразливостей, які дозволяють аплетам Java уникати пісочниці та грубо обходити вашу систему.
Oracle розуміє, що пісочниця в основному зламана, тому пісочниця в основному мертва. Вони відмовилися від цього. За замовчуванням Java більше не буде запускати аплети, що не мають підпису. Запуск непідписаних аплетів не повинен бути проблемою, якщо пісочниця безпеки була надійною - саме тому загалом не проблема запускати будь-який вміст Adobe Flash, який ви знайдете в Інтернеті. Навіть якщо у Flash є вразливі місця, вони виправлені, і Adobe не відмовляється від пісочниці Flash.
За замовчуванням Java завантажує лише підписані аплети. Це звучить добре, як хороше поліпшення безпеки. Однак тут є серйозні наслідки. Коли аплет Java підписаний, він вважається "надійним" і він не використовує пісочницю. Як зазначає попереджувальне повідомлення Java:
"Ця програма працюватиме з необмеженим доступом, що може поставити під загрозу ваш комп’ютер та особисту інформацію".
Навіть власний аплет перевірки версії Java - простий маленький аплет, який запускає Java для перевірки встановленої версії та повідомляє, чи потрібно оновити, - вимагає цього повного доступу до системи. Це абсолютно божевільно.
Іншими словами, Java справді відмовилася від пісочниці. За замовчуванням ви можете або не запускати аплет Java, або запускати його з повним доступом до вашої системи. Неможливо використовувати пісочницю, якщо ви не налаштуєте налаштування безпеки Java. Пісочниця настільки ненадійна, що кожен біт коду Java, з яким ви стикаєтесь в Інтернеті, потребує повного доступу до вашої системи. Ви можете просто завантажити програму Java і запустити її, а не покладатися на плагін браузера, який не забезпечує додаткового захисту, який він спочатку був розроблений.
Як один розробник Java пояснив : "Oracle навмисно вбиває пісочницю безпеки Java під приводом покращення безпеки".
Веб-браузери вимикають це самостійно
На щастя, веб-браузери втручаються, щоб виправити бездіяльність Oracle. Навіть якщо у вас встановлено та ввімкнено плагін для браузера Java, Chrome та Firefox не завантажуватимуть вміст Java за замовчуванням. Для вмісту Java вони використовують “відтворити”.
Internet Explorer все ще автоматично завантажує вміст Java. Internet Explorer дещо вдосконалився - нарешті він почав блокувати застарілі, вразливі елементи керування ActiveX разом із «Сервісне оновлення Windows 8.1» (воно ж Windows 8.1 Update 2) у серпні 2014 р. Chrome і Firefox робили це набагато довше. Інтернет Explorer тут - за іншими браузерами - знову.
Як вимкнути плагін Java
Кожен, хто потребує встановленої Java, повинен принаймні вимкнути плагін із панелі керування Java. В останніх версіях Java ви можете один раз натиснути клавішу Windows, щоб відкрити меню «Пуск» або екран «Пуск», ввести «Java», а потім клацнути ярлик «Налаштування Java». На вкладці Безпека зніміть прапорець біля пункту «Увімкнути вміст Java у браузері».
Навіть після вимкнення плагіна, Minecraft і будь-який інший настільний додаток, який залежить від Java, буде працювати нормально. Це заблокує лише аплети Java, вбудовані на веб-сторінках.
Так, аплети Java все ще існують у дикій природі. Ви, мабуть, найчастіше зустрічаєте їх на внутрішніх сайтах, де у якоїсь компанії є старовинний додаток, написаний як аплет Java. Але аплети Java - мертва технологія, і вони зникають із споживчої мережі. Вони мали змагатися з Flash, але програли. Навіть якщо вам потрібна Java, вам, ймовірно, не потрібен плагін.
Випадковій компанії чи користувачеві, яким потрібен плагін для браузера Java, слід зайти на Панель керування Java та вибрати його ввімкнення. Плагін слід розглядати як застарілий варіант сумісності.
