If-Koubou

Oracle ne može osigurati plug-in Java, pa zašto je još uvijek omogućen prema zadanim postavkama?

Oracle ne može osigurati plug-in Java, pa zašto je još uvijek omogućen prema zadanim postavkama? (Kako da)

Java je odgovorna za 91 posto kompromisa računala 2013. Većina korisnika ne samo da je omogućen dodatak Java preglednika - oni koriste zastarjele, ranjive verzije. Hej, Oracle - vrijeme je da ga onemogućite prema zadanim postavkama.

Oracle zna kako je situacija katastrofa. Odustali su od sigurnosnog pješčaniku, Java plug-in, koji je izvorno dizajniran kako bi vas zaštitio od zlonamjernih Java apleta. Java apleti na webu imaju potpun pristup vašem sustavu uz zadane postavke.

Java Browser Plug-in je potpuna katastrofa

Branitelji Jave imaju tendenciju da se žale kad god web stranice poput naših napišu da je Java izuzetno nesiguran. "To je samo plug-in preglednika", kažu - priznajući kako je slomljena. Ali taj nesigurni plug-in preglednika omogućen je prema zadanim postavkama u svakoj instalaciji Java tamo. Statistika govori za sebe. Čak i ovdje u How-To Geeku, 95 posto naših ne-mobilnih posjetitelja omogućilo je Java plug-in. A mi smo web-lokacija koja čitateljima nastavlja deinstalirati Java ili barem onemogućiti dodatak.

Širom svijeta, studije pokazuju da većina računala s instaliranim Java softverom imaju zastarjeli plug-in Java preglednika koji je dostupan za zlonamjerne web-lokacije. Godine 2013. studija tvrtke Websense Security Labs pokazala je da 80 posto računala ima zastarjele, ranjive verzije Java. Čak i najatraktivnija dobrotvorna studija zastrašujuća - oni imaju tendenciju da tvrde da je više od 50 posto Java plugova zastarjelo.

U 2014. godini Ciscoova godišnja izvješća o sigurnosti izvijestila su kako je 91 posto svih napada u 2013. godini bilo protiv Jave. Oracle čak pokušava iskoristiti ovaj problem grupiranjem strašne trake za Ask Toolbar i drugih junkwarea s Java ažuriranjima - ostati elegantan, Oracle.

Oracle je prepustio Sandboxingu Java dodataka

Java plug-in pokreće Java program - ili "Java applet" - ugrađen na web stranicu, slično načinu na koji Adobe Flash radi. Budući da je Java složen jezik koji se koristi za sve, od aplikacija za stolna računala do poslužiteljskog softvera, plug-in je izvorno dizajniran za pokretanje tih Java programa u sigurnom sandboxu. To bi ih spriječilo da učine gadne stvari vašem sustavu, čak i ako su pokušali.

U svakom slučaju to je teorija. U praksi, naizgled je neprekidni tok ranjivosti koji omogućuju Java appletima da pobjegnu u pješčaniku i pokrenu grubo stanje na vašem sustavu.

Oracle shvaća da je pješčanik sada u osnovi slomljen, pa je pješčanik sada u osnovi mrtav. Odustali su od njega. Prema zadanim postavkama, Java više neće pokretati "nepotpisane" applete. Pokretanje nepotpisanih aplikacija ne bi trebalo biti problem ako je sigurnosni pješčenjak bio pouzdani - to je razlog zašto obično nije problem pokretanje bilo kojeg Adobe Flash sadržaja koji se nalazi na webu. Čak i ako postoje sigurnosni propusti u Flashu, oni su fiksni i Adobe ne odustaje od Flashova sandboxa.

Prema zadanim postavkama, Java će samo učitati potpisane aplikacije. To zvuči dobro, kao dobro poboljšanje sigurnosti. Međutim, tu ima ozbiljnu posljedicu. Kada je potpisan Java applet, smatra se "pouzdanim" i ne upotrebljava pješčanik. Kao što je Java upozoravajuća poruka postavlja:

"Ova aplikacija će se izvoditi s neograničenim pristupom koji može ugroziti vaše računalo i osobne podatke."

Čak i Oracleova Java verzija provjerava aplet - jednostavni mali aplet koji pokreće Java za provjeru instalirane verzije i govori vam je li potrebno ažurirati - zahtijeva ovaj puni pristup sustavu. To je potpuno lud.

Drugim riječima, Java je doista odustala od sandboxa. Prema zadanim postavkama, ne možete pokrenuti Java applet ili ga pokrenuti s punim pristupom vašem sustavu. Ne postoji način za korištenje pješčanika osim ako ne uštedite Java sigurnosne postavke. Pješčanik je toliko nepouzdan da svaki dio Java koda s kojima se susrećete na mreži treba puni pristup vašem sustavu. Možda ćete i samo preuzeti Java program i pokrenuti je umjesto da se oslanjate na plug-in preglednika koji ne nudi dodatnu sigurnost koju je izvorno osmišljeno pružiti.

Kao što je jedan razvojni programer Java objasnio: "Oracle namjerno ubija Java sigurnosni pješčanik pod pretpostavkom poboljšanja sigurnosti".

Web preglednici to onesposobljavaju

Srećom, web preglednici ulaze u korak Oracleova neaktivnost. Čak i ako instalirate i omogućite dodatak Java preglednika, Chrome i Firefox nećete učitati Java sadržaj prema zadanim postavkama. Koriste "klikni za reprodukciju" za Java sadržaj.

Internet Explorer i dalje automatski učitava Java sadržaj. Internet Explorer se donekle popravio - konačno je u kolovozu 2014. započeo blokiranje zastarjelih i ranjivih ActiveX kontrola zajedno s "Windows 8.1 August Update" (aka Windows 8.1 Update 2). Chrome i Firefox to rade mnogo dulje , Internet Explorer je iza drugih preglednika ovdje - opet.

Kako onemogućiti Java Plug-in

Svi koji trebaju instalirati Java trebali bi barem onemogućiti dodatak s upravljačke ploče Java. Uz nedavne verzije Java, možete taknite tipku Windows jednom da biste otvorili izbornik Start ili Početni zaslon, upišite "Java", a zatim kliknite prečac "Konfiguracija Java". Na kartici Sigurnost poništite opciju "Omogući Java sadržaj u pregledniku".

Čak i nakon što onemogućite dodatak, Minecraft i sve druge aplikacije na računalu koje ovise o Javau bit će sasvim u redu. To će samo blokirati Java aplete ugrađene na web stranicama.

Da, Java apleti i dalje postoje u divljini. Vjerojatno ćete ih najčešće naći na internim mjestima na kojima neka tvrtka ima drevnu aplikaciju koja je napisana kao Java aplet. No, Java apleti su mrtva tehnologija i oni nestaju s interneta za potrošače. Trebali su se natjecati s Flashom, ali su izgubili.Čak i ako trebate Java, vjerojatno ne trebate dodatak.

Povremeno tvrtka ili korisnik koji trebaju plug-in Java preglednika trebao bi ići na Javaovu upravljačku ploču i odabrati to omogućiti. Dodatak bi se trebao smatrati opcijom starijih kompatibilnosti.