Oracle kan ikke sikre Java Plug-in, så hvorfor er det fortsatt aktivert som standard?
Java var ansvarlig for 91 prosent av alle datakompromisser i 2013. De fleste bruker ikke bare Java-nettleser-plugin-modulen - de bruker en utdatert, sårbar versjon. Hei, Oracle - det er på tide å deaktivere denne plugin-modulen som standard.
Oracle vet at situasjonen er en katastrofe. De har gitt opp på Java-pluginens sikkerhetssandkasse, opprinnelig designet for å beskytte deg mot ondsinnede Java-applets. Java-applets på nettet får full tilgang til systemet ditt med standardinnstillingene.
Java-nettleserpluggen er en komplett katastrofe
Forsvarere av Java pleier å klage når nettsteder som våre skriver at Java er ekstremt usikkert. "Det er bare nettleser-plugin-modulen," sier de - anerkjenner hvor ødelagt det er. Men den usikre nettleserpluggen er aktivert som standard i hver enkelt installasjon av Java der ute. Statistikken snakker for seg selv. Selv her på How-To Geek, har 95 prosent av våre ikke-mobile besøkende aktivert Java-plugin-modulen. Og vi er en nettside som forteller at leserne våre skal avinstallere Java eller i det minste deaktivere plugin-modulen.
Internett-studier viser at de fleste datamaskiner med Java installert har en utdatert Java-nettleser-plugin tilgjengelig for ondsinnede nettsteder for å ødelegge. I 2013 viste en undersøkelse fra Websense Security Labs at 80 prosent av datamaskiner hadde utdaterte, sårbare versjoner av Java. Selv de mest veldedige studiene er skummel - de pleier å hevde at mer enn 50 prosent av Java-plugin-modulene er utdaterte.
I 2014 sa Ciscos årlige sikkerhetsrapport at 91 prosent av alle angrepene i 2013 var mot Java. Oracle prøver å utnytte dette problemet ved å kombinere den forferdelige Ask Toolbar og annen junkware med Java-oppdateringer. Hold deg stilig, Oracle..
Oracle ga opp på Java Plug-in Sandboxing
Java-plugin-modulen kjører et Java-program - eller "Java-applet" - innebygd på en nettside, ligner hvordan Adobe Flash fungerer. Fordi Java er et komplekst språk som brukes for alt fra desktopprogrammer til serverprogramvare, ble plugin-modulen opprinnelig utformet for å kjøre disse Java-programmene i en sikker sandkasse. Dette ville forhindre at de gjorde ekkel ting i systemet ditt, selv om de prøvde.
Det er altså teorien. I praksis er det en tilsynelatende uendelig strøm av sårbarheter som tillater Java-applets å unnslippe sandkassen og kjøre roughshod over systemet ditt.
Oracle innser at sandkassen er i utgangspunktet ødelagt, så sandkassen er nå i utgangspunktet død. De har gitt opp på det. Som standard vil Java ikke lenger kjøre "usignerte" applets. Kjører usignerte applets bør ikke være et problem hvis sikkerhetssandboken var troverdig - derfor er det generelt ikke et problem å kjøre alt Adobe Flash-innhold du finner på nettet. Selv om det er sårbarheter i Flash, er de løst, og Adobe gir ikke opp på Flashs sandboxing.
Som standard vil Java bare laste inn signerte applets. Det høres bra ut, som en god sikkerhetsforbedring. Det er imidlertid en alvorlig konsekvens her. Når en Java-applet er signert, anses den som "klarert" og den bruker ikke sandkassen. Som Java varslingsmelding setter det:
"Denne applikasjonen vil løpe med ubegrenset tilgang som kan sette din datamaskin og personlige opplysninger i fare."
Selv Oracle egen Java-versjon sjekk applet - en enkel liten applet som kjører Java for å sjekke din installerte versjon og forteller deg om du trenger å oppdatere - krever full tilgang til systemet. Det er helt vanvittig.
Med andre ord, har Java virkelig gitt opp på sandkassen. Som standard kan du heller ikke kjøre en Java-applet eller kjøre den med full tilgang til systemet. Det er ingen måte å bruke sandkassen med mindre du justerer Java-sikkerhetsinnstillingene. Sandkassen er så usannsynlig at alle Java-kodene du møter online trenger full tilgang til systemet ditt. Du kan også bare laste ned et Java-program og kjøre det i stedet for å stole på nettleser-plugin-modulen, som ikke gir den ekstra sikkerheten den ble opprinnelig utformet for å gi.
Som en Java-utvikler forklarte: "Oracle forsøker å drepe Java-sikkerhetssandboken under forutsetning for å forbedre sikkerheten."
Nettlesere deaktiverer det på egen hånd
Heldigvis går nettlesere inn for å rette opp Oracle's passivitet. Selv om du har installert og aktivert Java-nettleser-plugin-modulen, vil Chrome og Firefox ikke laste inn Java-innhold som standard. De bruker "klikk-til-spill" for Java-innhold.
Internet Explorer laster automatisk automatisk inn Java-innhold. Internet Explorer har forbedret seg noe - det begynte endelig å blokkere utdaterte, sårbare ActiveX-kontroller sammen med "Windows 8.1 August Update" (også Windows 8.1 Update 2) i august 2014. Chrome og Firefox har gjort dette mye lenger . Internet Explorer ligger bak andre nettlesere her - igjen.
Slik deaktiverer du Java Plug-in
Alle som trenger Java installert, bør i det minste deaktivere plugin-modulen fra java-kontrollpanelet. Med nyere versjoner av Java kan du trykke på Windows-tasten en gang for å åpne Start-menyen eller Start-skjermbildet, skrive "Java", og deretter klikke "Konfigurer Java" -genveien. På fanen Sikkerhet fjerner du merket for "Aktiver Java-innhold i nettleseren".
Selv etter at du deaktiverer plugin-modulen, vil Minecraft og et hvilket som helst annet skrivebordsprogram som er avhengig av Java, gå bra. Dette vil bare blokkere Java-applets som er innebygd på nettsider.
Ja, Java-applets eksisterer fortsatt i naturen. Du finner sannsynligvis dem mest på interne nettsteder der noen selskaper har en gammel applikasjon skrevet som en Java-applet. Men Java-applets er en død teknologi, og de forsvinner fra forbrukerweb. De skulle konkurrere med Flash, men de mistet. Selv om du trenger Java, trenger du sannsynligvis ikke plugin-modulen.
Det enkelte selskapet eller brukeren som trenger Java-nettleser-plugin-modulen, må gå inn i Java-kontrollpanelet og velge å aktivere det. Plug-in bør betraktes som et eldre kompatibilitetsalternativ.