Oracle nu poate securiza plug-in-ul Java, deci de ce este încă activat în mod implicit?

Java a fost responsabil pentru 91 la sută din toate compromisurile computerelor în 2013. Majoritatea oamenilor nu numai că au activat pluginul de browser Java, ci folosesc o versiune învechită, vulnerabilă. Bună, Oracle – este timpul să dezactivați acest plug-in în mod implicit.

Oracle știe că situația este un dezastru. Au renuntat la sandbox-ul de securitate al plug-in-ului Java, conceput inițial pentru a vă proteja de applet-urile Java rău intenționate. Aplicațiile Java de pe web au acces complet la sistemul dvs. cu setările implicite.

Plug-in-ul Java Browser este un dezastru total

Apărătorii Java tind să se plângă ori de câte ori site-uri ca al nostru scriu că Java este extrem de nesigur. Acesta este doar plug-in-ul browserului, spun ei - recunoscând cât de defect este. Dar acest plug-in de browser nesigur este activat în mod implicit în fiecare instalare a Java. Statisticile vorbesc de la sine. Chiar și aici, la How-To Geek, 95% dintre vizitatorii noștri care nu folosesc mobil au plug-in-ul Java activat. Și suntem un site web care continuă să le spună cititorilor noștri dezinstalează java sau cel puțin dezactivați plug-in-ul .

La nivel de internet, studiile continuă să arate că majoritatea computerelor cu Java instalat au un plug-in de browser Java învechit disponibil pentru ca site-urile web rău intenționate să le distrugă. În 2013, a studiu realizat de Websense Security Labs a arătat că 80% dintre computere aveau versiuni de Java învechite și vulnerabile. Chiar și cele mai caritabile studii sunt înfricoșătoare - tind să susțină că mai mult de 50% dintre pluginurile Java sunt depășite.

În 2014, Raportul anual de securitate al Cisco a spus că 91% din toate atacurile din 2013 au fost împotriva Java. Oracle încearcă chiar să profite de această problemă prin grupare teribilul Ask Toolbar și alte programe nedorite cu actualizări Java — rămâneți elegant, Oracle.

Oracle a renunțat la Sandboxing-ul plug-in-ului Java

Pluginul Java rulează un program Java – sau un applet Java – încorporat într-o pagină web, similar modului în care funcționează Adobe Flash. Deoarece Java este un limbaj complex folosit pentru orice, de la aplicații desktop la software-ul server, plug-in-ul a fost conceput inițial pentru a rula aceste programe Java în o cutie de nisip sigură . Acest lucru i-ar împiedica să facă lucruri urâte sistemului dumneavoastră, chiar dacă ar încerca.

Asta e teoria, oricum. În practică, există un flux aparent nesfârșit de vulnerabilități care permit applet-urilor Java să scape din sandbox și să ruleze fără probleme peste sistemul dumneavoastră.

Oracle își dă seama că sandbox-ul este acum practic spart, așa că sandbox-ul este acum practic mort. Au renuntat la asta. În mod implicit, Java nu va mai rula applet-uri nesemnate. Rularea applet-urilor nesemnate nu ar trebui să fie o problemă dacă sandbox-ul de securitate a fost de încredere - de aceea, în general, nu este o problemă să rulați orice conținut Adobe Flash pe care îl găsiți pe web. Chiar dacă există vulnerabilități în Flash, acestea sunt remediate și Adobe nu renunță la sandboxing-ul Flash.

În mod implicit, Java va încărca numai applet-uri semnate. Sună bine, ca o îmbunătățire bună a securității. Cu toate acestea, aici există o consecință gravă. Când un applet Java este semnat, este considerat de încredere și nu folosește sandbox-ul. După cum spune mesajul de avertizare Java:

Această aplicație va rula cu acces nerestricționat, ceea ce vă poate pune computerul și informațiile personale în pericol.

Chiar și propriul applet de verificare a versiunii Java de la Oracle - un mic applet simplu care rulează Java pentru a verifica versiunea instalată și vă spune dacă trebuie să actualizați - necesită acest acces complet la sistem. Este complet nebunesc.

Cu alte cuvinte, Java a renunțat cu adevărat la sandbox. În mod implicit, fie nu puteți rula un applet Java, fie îl puteți rula cu acces complet la sistemul dumneavoastră. Nu există nicio modalitate de a utiliza sandbox-ul decât dacă modificați setările de securitate ale Java. Cutia de nisip este atât de neîncrezătoare încât fiecare fragment de cod Java pe care îl întâlnești online are nevoie de acces complet la sistemul tău. Ați putea la fel de bine să descărcați un program Java și să-l rulați, în loc să vă bazați pe plug-in-ul browserului, care nu oferă securitatea suplimentară pe care a fost proiectat inițial să o ofere.

Ca un dezvoltator Java explicat : Oracle ucide în mod intenționat sandbox-ul de securitate Java sub pretenția de a îmbunătăți securitatea.

Browserele web îl dezactivează pe cont propriu

Din fericire, browserele web intervin pentru a remedia inacțiunea Oracle. Chiar dacă aveți instalat și activat pluginul pentru browser Java, Chrome și Firefox nu vor încărca conținut Java în mod implicit. Ei folosesc click-to-play pentru conținutul Java.

Internet Explorer încărcă automat conținutul Java. Internet Explorer s-a îmbunătățit oarecum - a început în sfârșit să blocheze controalele ActiveX vulnerabile și învechite, împreună cu Actualizare Windows 8.1 august (denumită Windows 8.1 Update 2) în august 2014. Chrome și Firefox fac acest lucru de mult mai mult timp. Internet Explorer este în spatele altor browsere aici — din nou.

Cum să dezactivați pluginul Java

Toți cei care au nevoie de Java instalat ar trebui să dezactiveze cel puțin plug-in-ul din panoul de control java. Cu versiunile recente de Java, puteți atinge tasta Windows o dată pentru a deschide meniul Start sau ecranul Start, tastați Java și apoi faceți clic pe comanda rapidă Configurare Java. În fila Securitate, debifați opțiunea Activare conținut Java în browser.

Chiar și după ce dezactivați plug-in-ul, Minecraft și orice altă aplicație desktop care depinde de Java va funcționa bine. Acest lucru va bloca numai applet-urile Java încorporate în paginile web.

Da, appleturile Java încă există în sălbăticie. Probabil le veți găsi cel mai frecvent pe site-urile interne unde o companie are o aplicație veche scrisă ca un applet Java. Dar appleturile Java sunt o tehnologie moartă și dispar de pe internetul consumatorilor. Trebuiau să concureze cu Flash, dar au pierdut. Chiar dacă aveți nevoie de Java, probabil că nu aveți nevoie de plug-in.

Compania sau utilizatorul ocazional care are nevoie de pluginul de browser Java ar trebui să intre în Panoul de control al Java și să aleagă să îl activeze. Pluginul ar trebui să fie considerat o opțiune de compatibilitate moștenită.

• & rsaquo; Cum să îți menții PC-ul Windows și aplicațiile la zi
• & rsaquo; Cum să utilizați Java, Silverlight și alte plugin-uri în browserele moderne
• & rsaquo; Ce este malvertising și cum vă protejați?
• & rsaquo; Minecraft nu mai are nevoie de instalarea Java; Este timpul să dezinstalați Java
• & rsaquo; Mac OS X nu mai este în siguranță: epidemia de programe malware/malware a început
• & rsaquo; Ar trebui să faceți upgrade la Chrome pe 64 de biți. Este mai sigur, mai stabil și mai rapid
• & rsaquo; Dezinstalați sau dezactivați pluginurile pentru a vă face browserul mai sigur
• › Funcții vs. Formule în Microsoft Excel: Care este diferența?