Az Oracle nem tudja biztosítani a Java plug-inet, ezért miért van engedélyezve az alapértelmezés?
A Java az összes számítógép-kompromisszum 91% -áért felelős 2013-ban. A legtöbb embernek nemcsak a Java böngésző plug-inje van engedélyezve - használnak egy elavult, sebezhető verziót. Hé, Oracle - itt az ideje, hogy alapértelmezés szerint tiltsa le ezt a bővítményt.
Az Oracle tudja, hogy a helyzet katasztrófa. Feladták a Java plug-in biztonsági homokozóját, amelyet eredetileg a rosszindulatú Java-appletek védelmére terveztek. A webes Java-kisalkalmazások teljes hozzáférést biztosítanak a rendszerhez az alapértelmezett beállításokkal.
A Java Browser Plug-in egy teljes katasztrófa
A Java védelmezői általában panaszkodnak, amikor olyan helyek, mint a miénk, írják, hogy a Java rendkívül bizonytalan. „Ez csak a böngésző plug-inje” - mondják - elismerve, hogy milyen törött. De ez a bizonytalan böngésző plug-in alapértelmezés szerint engedélyezi a Java minden egyes telepítését. A statisztikák magukért beszélnek. Még a How-To Geek-ben is, a nem mobil látogatók 95 százaléka engedélyezte a Java plug-inet. És mi olyan webhely vagyunk, amely azt mondja az olvasóinknak, hogy távolítsák el a Java-t, vagy legalábbis letiltsák a bővítményt.
Az internetes vizsgálatok azt mutatják, hogy a Java telepített számítógépek többsége elavult Java-böngésző plug-in áll rendelkezésre a rosszindulatú webhelyek számára, hogy romboljanak. 2013-ban a Websense Security Labs tanulmánya kimutatta, hogy a számítógépek 80 százaléka elavult, sebezhető Java verziókkal rendelkezik. Még a leginkább jótékonysági tanulmányok is ijesztőek - hajlamosak arra, hogy a Java plug-inek több mint 50 százaléka elavult legyen.
2014-ben a Cisco éves biztonsági jelentése szerint a 2013-as támadások 91 százaléka volt Java ellen. Az Oracle még megpróbálja kihasználni ezt a problémát a szörnyű Ask Toolbar és a Java frissítésekkel kapcsolatos egyéb junkware összekapcsolásával - maradjon klassz, Oracle.
Oracle Gave Up a Java Plug-in's Sandboxing-on
A Java plug-in egy Java programot - vagy „Java applet” -t futtat - beágyazott egy weboldalra, hasonlóan az Adobe Flash működéséhez. Mivel a Java egy összetett nyelv, amelyet mindentől az asztali alkalmazásoktól a szerver szoftverig használnak, a plug-in eredetileg úgy lett tervezve, hogy ezeket a Java programokat biztonságos homokozóban futtassa. Ez megakadályozná őket abban, hogy csúnya dolgokat csináljanak a rendszerben, még akkor is, ha próbáltak.
Ez az elmélet. A gyakorlatban látszólag véget nem érő sebezhetőségű patak áll rendelkezésre, amely lehetővé teszi a Java kisalkalmazások számára, hogy elmeneküljenek a homokozóból, és futás közben a rendszeren futjon..
Az Oracle rájön, hogy a homokozó már alapvetően megtört, így a homokozó már alapvetően halott. Feladták. Alapértelmezés szerint a Java már nem futtatja az „aláírás nélküli” appleteket. A nem aláírt appletek futtatása nem okozhat problémát, ha a biztonsági homokozó megbízható volt - ezért általában nem jelent problémát az interneten talált Adobe Flash tartalom futtatása. Még ha vannak sebezhetőségek a Flash-ben, azok rögzítve vannak, és az Adobe nem adja fel a Flash homokozóját.
Alapértelmezés szerint a Java csak aláírt appleteket tölt be. Ez jól hangzik, mint egy jó biztonsági javítás. Azonban komoly következmény van itt. Amikor egy Java kisalkalmazás aláírásra kerül, akkor „megbízhatónak” tekintik, és nem használja a homokozót. A Java figyelmeztető üzenete szerint:
„Ez az alkalmazás korlátlan hozzáféréssel fog futni, ami veszélyeztetheti számítógépét és személyes adatait.”
Még az Oracle saját Java verziója is megvizsgálja a kisalkalmazást, amely a Java-t futtatja, hogy ellenőrizze a telepített verziót, és elmondja, ha frissítenie kell - ezt a teljes rendszer-hozzáférést igényli. Ez teljesen őrült.
Más szóval, a Java valóban feladta a homokozót. Alapértelmezés szerint nem futtathat Java applet-et, vagy teljes hozzáféréssel futtathatja a rendszert. A homokozó használata nem lehetséges, kivéve, ha a Java biztonsági beállításait megmagyarázza. A homokozó annyira megbízhatatlan, hogy minden olyan online kódhoz tartozó Java-kódnak szüksége van teljes hozzáférésre a rendszerhez. Lehet, hogy csak letölthet egy Java programot, és futtathatja azt, nem pedig a böngésző plug-inre támaszkodva, amely nem nyújtja az eredetileg tervezett kiegészítő biztonságot.
Ahogy egy Java fejlesztő elmagyarázta: „Az Oracle szándékosan megöli a Java biztonsági homokozót a biztonság javításával.”
A webböngészők letiltják a sajátjukat
Szerencsére a webböngészők belépnek az Oracle tétlenségének javításába. Még ha van telepítve és engedélyezve a Java böngésző plug-in, a Chrome és a Firefox alapértelmezés szerint nem tölti be a Java tartalmat. A Java tartalomhoz „click-to-play” -et használnak.
Az Internet Explorer még mindig automatikusan betölti a Java tartalmat. Az Internet Explorer némileg javult - végül elkezdte blokkolni az elavult, sérülékeny ActiveX-vezérlőket a „Windows 8.1 August Update” (más néven Windows 8.1 Update 2) mellett. A Chrome és a Firefox ezt sokkal hosszabb ideig végezte . Az Internet Explorer itt más böngészők mögött van - újra.
A Java beépülő modul letiltása
Mindenkinek, aki telepíti a Java programot, legalább le kell tiltania a plug-inet a java vezérlőpultról. A legutóbbi Java verziók segítségével érintse meg a Windows gombot egyszer a Start menü vagy a Start képernyő megnyitásához, írja be a „Java” parancsot, majd kattintson a „Java konfigurálása” parancsikonra. A Biztonság lapon törölje a „Java-tartalom engedélyezése a böngészőben” opciót.
Miután letiltotta a plug-inet, a Minecraft és bármely más, a Java-tól függő asztali alkalmazás csak jól fog működni. Ez csak blokkolja a weblapokon beágyazott Java appleteket.
Igen, még mindig léteznek Java-appletek a vadonban. Valószínűleg leggyakrabban azokat a belső webhelyeket fogja találni, ahol néhány vállalatnak van egy régi, Java-appletként írt alkalmazása. De a Java kisalkalmazások egy halott technológia, és eltűnnek a fogyasztói webről. Úgy kellett volna versenyezniük a Flash-szel, de elveszítették. Még ha Java-ra is szüksége van, valószínűleg nem kell a plug-in.
Az alkalmi cégnek vagy felhasználónak, akinek szüksége van a Java böngésző plug-inre, el kell mennie a Java vezérlőpultjába, és engedélyeznie kell azt. A bővítményt örökölt kompatibilitási lehetőségnek kell tekinteni.