Oracle ei saa Java-pluginaid turvaliselt kaitsta, seega miks on vaikimisi vaikimisi lubatud?

Java vastutas 2013. aastal 91 protsendi eest kõikidest kompromissidest. Enamikul inimestel pole Java-brauseri pistikprogramm lubatud - nad kasutavad aegunud, haavatavat versiooni. Hei, Oracle - on aeg keelata see plugin vaikimisi.

Oracle teab, et olukord on katastroof. Nad on loobunud Java plug-ini turvalisuse liivakastist, mis oli algselt loodud kaitsma teid pahatahtlike Java-rakenduste eest. Java-apletid veebis saavad täieliku juurdepääsu teie süsteemile vaikesätetega.

Java-brauseri pistikprogramm on täielik katastroof

Java kaitsjad kipuvad kaebama alati, kui meie sellised saidid kirjutavad, et Java on äärmiselt ebakindel. "See on lihtsalt brauseri pistikprogramm," ütlevad nad - tunnistades, kui rikutud see on. Kuid see ebaturvaline brauseri pistikprogramm on vaikimisi lubatud kõikides Java-seadmetes seal. Statistika räägib enda eest. Isegi siin, How-To Geekis, on 95 protsendil meie mobiilivälistest külastajatest lubatud Java-plugin. Ja me oleme veebileht, mis hoiab meie lugejaid Java-i desinstallimisel või vähemalt blokeeringu keelamisel.

Interneti-põhised uuringud näitavad, et enamikul Java-arvutis olevatel arvutitel on vananenud Java-brauseri pistikprogramm, mida saab pahatahtlike veebisaitide jaoks hävitada. 2013. aastal näitas Websense Security Labsi uuring, et 80 protsendil arvutitest oli aegunud ja tundlikud Java-versioonid. Isegi kõige heategevuslikumad uuringud on hirmutavad - nad kipuvad nõudma rohkem kui 50 protsenti Java pluginatest on aegunud.

2014. aastal ütles Cisco iga-aastane julgeolekuaruanne, et 2013. aastal oli 91% kõigist rünnakutest Java vastu. Oracle püüab isegi seda probleemi ära kasutada, sidudes kohutava Ask Toolbar'i ja muu Java-värskendusega junkware'iga - olge stiilne, Oracle.

Oracle Gave Up on Java Plug-in'i liivakastides

Java-pistikprogramm käivitab Java-programmi - või „Java-aplett” - veebilehe külge, sarnaselt Adobe Flashi toimimisele. Kuna Java on keeruline keel, mida kasutatakse kõike alates töölauarakendustest serveritarkvarale, oli see plugin algselt mõeldud nende Java-programmide käivitamiseks turvalises liivakastis. See takistaks neil oma süsteemile vastikust teha, isegi kui nad proovisid.

Igatahes on see teooria. Praktikas on näiliselt lõputu haavatavuste voog, mis võimaldab Java-appletidel pääseda liivakastist ja käivitada oma süsteemi.

Oracle mõistab, et liivakast on nüüd põhimõtteliselt katki, nii et liivakast on nüüd põhiliselt surnud. Nad on sellest loobunud. Vaikimisi Java ei käivita „allkirjastamata” applette. Allkirjastamata aplettide käivitamine ei tohiks olla probleemiks, kui turvasalad on usaldusväärsed - seetõttu ei ole üldjuhul probleemiks veebis leiduva Adobe Flashi sisu käivitamine. Isegi kui Flashis on nõrkusi, on need fikseeritud ja Adobe ei loobu Flashi liivakastist.

Vaikimisi laadib Java ainult allkirjastatud aplette. See kõlab hästi, nagu hea turvalisuse parandamine. Siiski on siin tõsine tagajärg. Kui Java-aplet on allkirjastatud, peetakse seda "usaldusväärseks" ja see ei kasuta liivakasti. Kui Java hoiatussõnum toob selle:

„See rakendus töötab piiramatult, mis võib teie arvuti ja isikliku teabe ohtu seada.”

Isegi Oracle'i Java-versiooni kontrollimise aplet - lihtne väike aplet, mis käivitab Java installitud versiooni kontrollimiseks ja ütleb teile, kas teil on vaja uuendada - nõuab seda täielikku süsteemi juurdepääsu. See on täiesti hull.

Teisisõnu, Java on tõesti liivakastist loobunud. Vaikimisi saate Java-apletit mitte käivitada või käivitada täieliku juurdepääsu oma süsteemile. Liivakasti ei saa kasutada, kui te ei soovi Java turvaseadeid muuta. Liivakast on nii ebausaldusväärne, et iga Java-koodi natuke, millega teie võrgus kokku puutute, vajab teie süsteemile täielikku juurdepääsu. Võite lihtsalt alla laadida Java programmi ja käivitada selle asemel, et tugineda brauseri pistikprogrammile, mis ei paku täiendavat turvalisust, mis oli algselt mõeldud.

Nagu üks Java arendaja selgitas: „Oracle hävitab Java turvalisuse liivakasti tahtlikult turvalisuse parandamise tees.”

Veebibrauserid keelavad selle ise

Õnneks astuvad veebibrauserid Oracle'i tegevusetusse. Isegi kui teil on installitud ja lubatud Java-brauseri pistikprogramm, ei laadi Chrome ja Firefox Java-sisu vaikimisi. Nad kasutavad Java-sisu jaoks „click-to-play“.

Internet Explorer laadib ikka Java sisu automaatselt. Internet Explorer on mõnevõrra paranenud - lõpuks hakkas see 2014. aasta augustis blokeerima vananenud, tundlikke ActiveX-juhtelemente koos Windows 8.1-i värskendusega (nimega Windows 8.1 Update 2). Chrome ja Firefox on seda teinud palju kauem . Internet Explorer on siin teiste brauserite taga - jälle.

Java-plugina keelamine

Igaüks, kes vajab Java installeerimist, peaks vähemalt Java-juhtpaneelilt pistikprogrammi keelama. Java-i värskeimate versioonidega saate Start-menüü või Start-ekraani avamiseks üks kord Windowsi klahvi puudutada, tippida „Java“ ja seejärel otsetee „Java” konfigureerimine. Vahekaardil Turvalisus tühjendage valik „Luba Java-sisu brauseris”.

Isegi pärast plugina keelamist hakkab Minecraft ja kõik muud Java-rakendustest sõltuvad töölauarakendused töötama täpselt. See blokeerib ainult veebilehtedele manustatud Java-appletid.

Jah, looduses on veel Java-applette. Tõenäoliselt leiate need kõige sagedamini sisemistel saitidel, kus mõnel ettevõttel on iidne rakendus, mis on kirjutatud Java-apletina. Kuid Java-appletid on surnud tehnoloogia ja nad kaovad tarbijaveebist. Nad pidid Flashiga konkureerima, kuid nad kaotasid. Isegi kui vajate Java-i, ei pea te tõenäoliselt seda pistikprogrammi.

Juhuslik ettevõte või kasutaja, kes vajab Java-brauseri pistikprogrammi, peaks minema Java juhtpaneelile ja valima selle lubamise. Lisandmoodulit tuleks lugeda päris ühilduvusvõimaluseks.