Oracle nie może zabezpieczyć wtyczki Java, dlaczego więc jest domyślnie włączone?
Java była odpowiedzialna za 91 procent wszystkich kompromisów komputerowych w 2013 roku. Większość osób nie tylko ma włączoną wtyczkę Java - używa nieaktualnej, podatnej na ataki wersji. Hej, Oracle - nadszedł czas, aby wyłączyć tę wtyczkę domyślnie.
Oracle wie, że sytuacja jest katastrofą. Zrezygnowano z piaskownicy bezpieczeństwa Java plug-in, zaprojektowanej pierwotnie w celu ochrony przed złośliwymi apletami Java. Aplety Java w Internecie uzyskują pełny dostęp do systemu z domyślnymi ustawieniami.
Wtyczka Java Browser Plug-in to kompletna katastrofa
Obrońcy Javy często skarżą się, gdy witryny takie jak nasza piszą, że Java jest wyjątkowo niepewna. "To tylko wtyczka do przeglądarki", mówią - potwierdzając, jak jest zepsute. Ale ta niezabezpieczona wtyczka przeglądarki jest domyślnie włączona w każdej instalacji Javy. Statystyki mówią same za siebie. Nawet tutaj, w How-To Geek, 95% naszych użytkowników niezmobilnych ma włączoną wtyczkę Java. A my jesteśmy stroną internetową, która mówi naszym czytelnikom, aby odinstalować Javę lub przynajmniej wyłączyć wtyczkę.
W całym Internecie, badania pokazują, że większość komputerów z zainstalowaną Javą ma przestarzałą wtyczkę do przeglądarki Java dostępną dla destrukcyjnych stron internetowych. W 2013 roku badanie Websense Security Labs wykazało, że 80 procent komputerów miało nieaktualne, wrażliwe wersje Javy. Nawet najbardziej charytatywne badania są przerażające - mają tendencję do twierdzenia, że ponad 50 procent wtyczek Java jest nieaktualnych.
W 2014 r. Roczny raport bezpieczeństwa Cisco stwierdził, że 91 procent wszystkich ataków w 2013 r. Było przeciwko Javie. Oracle próbuje nawet skorzystać z tego problemu, łącząc straszny Ask Toolbar i inne junkware z aktualizacjami Java - bądźcie z klasą, Oracle.
Oracle uzyskało dostęp do Sandboxing wtyczki Java
Wtyczka Java uruchamia program Java - lub "applet Java" - osadzony na stronie internetowej, podobny do działania Adobe Flash. Ponieważ Java jest złożonym językiem używanym do wszystkiego, od aplikacji desktopowych po oprogramowanie serwerowe, wtyczka została pierwotnie zaprojektowana do uruchamiania tych programów Java w bezpiecznym środowisku izolowanym. To uniemożliwiłoby im robienie nieprzyjemnych rzeczy w twoim systemie, nawet gdyby próbowali.
Tak czy inaczej, to jest teoria. W praktyce istnieje niekończący się strumień luk, który pozwala, aby aplety Javy mogły uciec z piaskownicy i uruchamiać zgrubny system.
Oracle zdaje sobie sprawę, że sandbox jest teraz w zasadzie uszkodzony, więc sandbox jest teraz w zasadzie martwy. Porzucili to. Domyślnie Java nie będzie już uruchamiać apletów "bez podpisu". Uruchomienie niepodpisanych apletów nie powinno stanowić problemu, jeśli bezpieczna strefa bezpieczna jest wiarygodna - dlatego generowanie zawartości Adobe Flash w Internecie nie stanowi problemu. Nawet jeśli w oprogramowaniu Flash występują luki, są one naprawiane, a Adobe nie rezygnuje z sandboxingu Flasha.
Domyślnie Java ładuje tylko podpisane aplety. Brzmi nieźle, jak poprawa bezpieczeństwa. Istnieje jednak poważna konsekwencja. Kiedy aplet Javy jest podpisany, jest uznawany za "zaufany" i nie korzysta z piaskownicy. Tak jak to pokazuje komunikat ostrzegawczy Java:
"Ta aplikacja będzie działać z nieograniczonym dostępem, co może narazić komputer i dane osobowe na niebezpieczeństwo."
Nawet własny aplet Oracle do sprawdzania wersji Java - prosty mały aplet, który uruchamia Javę w celu sprawdzenia zainstalowanej wersji i informuje o potrzebie aktualizacji - wymaga tego pełnego dostępu do systemu. To całkowicie szalone.
Innymi słowy, Java naprawdę zrezygnowała z piaskownicy. Domyślnie nie można uruchamiać apletu Java ani uruchamiać go z pełnym dostępem do systemu. Nie ma możliwości korzystania z piaskownicy, chyba że dostosujesz ustawienia zabezpieczeń Java. Sandbox jest tak niewiarygodny, że każdy kawałek kodu Java, który napotkasz online, wymaga pełnego dostępu do twojego systemu. Równie dobrze możesz po prostu pobrać program Java i uruchomić go, zamiast polegać na wtyczce do przeglądarki, która nie oferuje dodatkowych zabezpieczeń, które pierwotnie zostały zaprojektowane w celu zapewnienia.
Jak wyjaśnił jeden z programistów Java: "Oracle celowo zabija izolację Java Security pod pretekstem poprawy bezpieczeństwa."
Przeglądarki internetowe wyłączają go samodzielnie
Na szczęście, przeglądarki internetowe wkraczają, aby naprawić brak działania Oracle. Nawet jeśli masz zainstalowaną i włączoną wtyczkę Java przeglądarki, Chrome i Firefox domyślnie nie ładują treści Java. Używają one "kliknij, aby odtworzyć" dla treści Java.
Internet Explorer nadal automatycznie ładuje zawartość Java. Internet Explorer nieco się poprawił - w końcu zaczął blokować nieaktualne, wrażliwe formanty ActiveX wraz z "Aktualizacją Windows 8.1 sierpnia" (inaczej Windows 8.1 Update 2) w sierpniu 2014 r. Chrome i Firefox robią to znacznie dłużej . Internet Explorer znajduje się za innymi przeglądarkami tutaj - znowu.
Jak wyłączyć wtyczkę Java
Każdy, kto potrzebuje zainstalowanej Java, powinien przynajmniej wyłączyć wtyczkę z Panelu sterowania java. W przypadku najnowszych wersji Javy możesz raz nacisnąć klawisz Windows, aby otworzyć menu Start lub ekran Start, wpisać "Java", a następnie kliknąć skrót "Konfiguruj Javę". Na karcie Zabezpieczenia usuń zaznaczenie opcji "Włącz opcję Java content w przeglądarce".
Nawet po wyłączeniu wtyczki Minecraft i każda inna aplikacja na komputer, która zależy od Javy, będzie działać bez zarzutu. Spowoduje to tylko zablokowanie apletów Java osadzonych na stronach internetowych.
Tak, aplety Java nadal istnieją na wolności. Prawdopodobnie znajdziesz je najczęściej w wewnętrznych witrynach, gdzie niektóre firmy mają starą aplikację napisaną jako aplet Javy. Ale aplety Java są martwą technologią i znikają z internetu. Miały konkurować z Flash, ale przegrały. Nawet jeśli potrzebujesz Java, prawdopodobnie nie potrzebujesz wtyczki.
Okazjonalna firma lub użytkownik, który potrzebuje wtyczki przeglądarki Java, powinien przejść do panelu sterowania Java i włączyć tę opcję. Wtyczkę należy uznać za starszą opcję zgodności.