Oracle ne može osigurati Java Plug-in, pa zašto je još uvijek po defaultu?

Java je odgovorna za 91 posto svih kompromisa računala u 2013. Većina ljudi ne samo da ima omogućen plug-in Java preglednika - oni koriste zastarjelu, ranjivu verziju. Hej, Oracle - vrijeme je da onemogućimo taj dodatak prema zadanim postavkama.

Oracle zna da je situacija katastrofa. Odustali su od sigurnosnog sandboxa Java dodatka, izvorno dizajniranog da vas zaštiti od zlonamjernih Java apleta. Java apleti na webu imaju potpuni pristup vašem sustavu sa zadanim postavkama.

Dodatak Java preglednika potpuna je katastrofa

Branitelji Java imaju tendenciju da se žale kada web-mjesta kao što je naša pišu da je Java izuzetno nesigurna. "To je samo plug-in preglednika", kažu - priznajući kako je slomljen. Ali taj nesigurni plug-in preglednika omogućen je prema zadanim postavkama u svakoj instalaciji Jave. Statistika govori sama za sebe. Čak i ovdje u How-To Geek, 95 posto naših ne-mobilnih posjetitelja imaju Java plug-in omogućen. I mi smo web-lokacija koja našim čitateljima stalno govori da deinstaliraju Javu ili barem onemoguće dodatak.

Na internetu, studije pokazuju da većina računala s instaliranom Javi ima zastarjeli Java plug-in plugin za zlonamjerne web-lokacije koje mogu uništiti. U 2013. godini studija koju je provela tvrtka Websense Security Labs pokazala je da 80 posto računala ima zastarjele, ranjive verzije Jave. Čak je i većina dobrotvornih studija zastrašujuća - oni tvrde da je više od 50 posto Java dodataka zastarjelo.

Godine 2014. Cisco-ovo godišnje izvješće o sigurnosti navodi kako je 91 posto svih napada u 2013. bilo protiv Jave. Oracle čak pokušava iskoristiti ovaj problem spajanjem užasne Ask Toolbar i drugih junkwarea s ažuriranjima za Java - ostani elegantan, Oracle.

Oracle je ustao na Sandboxing Java Plug-ina

Java dodatak pokreće Java program - ili "Java applet" - ugrađen na web-stranicu, slično onome kako Adobe Flash funkcionira. Budući da je Java složeni jezik koji se koristi za sve, od aplikacija za stolna računala do poslužiteljskog softvera, dodatak je izvorno dizajniran za pokretanje tih Java programa u sigurnom pješčaniku. To bi ih spriječilo da čine gadne stvari vašem sustavu, čak i ako su pokušale.

U svakom slučaju, to je teorija. U praksi, postoji naizgled beskrajan niz ranjivosti koje omogućavaju Java appletima da pobjegnu iz pješčanog okruženja i pokrenu problem..

Oracle shvaća da je pješčanik sada uglavnom slomljen, tako da je pješčanik u osnovi mrtav. Odustali su od toga. Prema zadanim postavkama Java više neće izvoditi "nepotpisane" aplete. Pokretanje nepotpisanih appleta ne bi trebalo biti problem ako je sigurnosni sanduk pouzdan - zato uopće nije problem pokretanje bilo kojeg Adobe Flash sadržaja koji se nalazi na webu. Čak i ako u Flashu postoje ranjivosti, one su fiksne i Adobe ne odustaje od Flash-a.

Prema zadanim postavkama Java će učitati samo potpisane applete. To zvuči dobro, kao dobro poboljšanje sigurnosti. Međutim, ovdje postoji ozbiljna posljedica. Kada je Java applet potpisan, smatra se "pouzdanim" i ne koristi pješčanik. Kao što Java postavlja poruku upozorenja:

"Ova će se aplikacija izvoditi s neograničenim pristupom koji može ugroziti vaše računalo i osobne podatke."

Čak i Oracleov vlastiti applet za provjeru verzije Java-a - jednostavan mali applet koji pokreće Java kako bi provjerio vašu instaliranu verziju i kaže vam ako trebate ažurirati - zahtijeva potpuni pristup sustavu. To je potpuno ludo.

Drugim riječima, Java je stvarno odustala od pješčanstva. Prema zadanim postavkama, ne možete pokrenuti Java apleta ili ga pokrenuti s punim pristupom vašem sustavu. Ne postoji način da koristite pješčanik ako ne podesite sigurnosne postavke Java-a. Pješčanik je toliko nepouzdan da svaki bit Java koda s kojim se susrećete na mreži treba puni pristup vašem sustavu. Možete preuzeti i Java program i pokrenuti ga umjesto da se oslanjate na dodatak preglednika koji ne nudi dodatnu sigurnost koju je izvorno osmišljen za pružanje.

Kao što je jedan Java programer objasnio: "Oracle namjerno ubija sigurnosni sandučić Java pod izlikom poboljšanja sigurnosti."

Web preglednici su onemogućavanje na svoje vlastite

Srećom, web-preglednici ulaze u popravak Oracleovog nedjelovanja. Čak i ako imate instaliran i omogućen dodatak za preglednik Java, Chrome i Firefox ne učitavaju sadržaj Java prema zadanim postavkama. Oni koriste "klik za reprodukciju" za Java sadržaj.

Internet Explorer i dalje automatski učitava Java sadržaj. Internet Explorer se donekle poboljšao - napokon je počeo blokirati zastarjele, ranjive ActiveX kontrole zajedno sa "Windows 8.1 August Update" (Windows 8.1 Update 2) u kolovozu 2014. Chrome i Firefox su to radili mnogo duže , Internet Explorer ovdje je iza drugih preglednika - opet.

Kako onemogućiti Java dodatak

Svatko tko treba instaliran Java mora barem onemogućiti dodatak s upravljačke ploče Java. S novijim verzijama Jave možete jednom pritisnuti tipku Windows da biste otvorili izbornik Start ili početni zaslon, upišite “Java”, a zatim kliknite “Konfiguriraj Java” prečac. Na kartici Sigurnost isključite opciju "Omogući sadržaj Java u pregledniku".

Čak i nakon što onemogućite plug-in, Minecraft i bilo koja druga desktop aplikacija koja ovisi o Javi će biti u redu. Ovo će samo blokirati Java aplete ugrađene na web-stranicama.

Da, Java appleti još uvijek postoje u divljini. Vjerojatno ćete ih najčešće naći na internim stranicama gdje neka tvrtka ima drevnu aplikaciju napisanu kao Java applet. No, Java apleti su mrtva tehnologija i nestaju s weba potrošača. Trebali su se natjecati s Flashom, ali su izgubili. Čak i ako vam je potrebna Java, vjerojatno vam ne treba dodatak.

Povremena tvrtka ili korisnik koji treba plug-in preglednika Java trebao bi morati otići u Java kontrolnu ploču i odabrati da je omogući. Dodatak treba smatrati opcijom naslijeđene kompatibilnosti.