Oracle ne more zaščititi vtičnika Java, zakaj je še vedno privzeto omogočen?
Java je bila odgovorna za 91 odstotkov vseh računalniških kompromisov v letu 2013. Večina ljudi ne omogoča samo brskalnika Java brskalnika - uporabljajo zastarelo in ranljivo različico. Hej, Oracle - čas je, da privzeto onemogoči ta vtičnik.
Oracle ve, da je stanje katastrofa. Odpovedali so varnostni predal Java plug-ina, ki je bil prvotno zasnovan za zaščito pred zlonamernimi programčki Java. Java apleti na spletu dobijo popoln dostop do vašega sistema s privzetimi nastavitvami.
Vtičnik za brskalnik Java je popolna nesreča
Zagovorniki Java se nagibajo k temu, da se pritožujejo, kadar koli mesta, kot je naša, pišejo, da je Java zelo negotova. "To je samo vtičnik za brskalnik," pravijo - priznavajo, kako je zlomljena. Toda ta nezanesljiv vtičnik brskalnika je privzeto omogočen pri vsaki namestitvi Java tam zunaj. Statistika govori sama zase. Tudi tukaj v How-To Geek, 95 odstotkov naših ne-mobilnih obiskovalcev ima plug-in Java omogočen. Smo spletno mesto, ki bralcem vedno govori, naj odstranijo Javo ali vsaj onemogočijo vtičnik.
Po vsem svetu študije kažejo, da ima večina računalnikov z nameščeno Javo na voljo zastareli vtičnik za brskalnike Java, ki omogoča zlonamerne spletne strani, da uničijo. Leta 2013 je študija Websense Security Labs pokazala, da ima 80 odstotkov računalnikov zastarele, ranljive različice Jave. Tudi najbolj dobrodelne študije so strašljive - trdijo, da je več kot 50 odstotkov vtičnikov Java zastarelih.
Leta 2014 je Ciscovo letno varnostno poročilo navedlo, da je bilo 91 odstotkov vseh napadov v letu 2013 proti Javi. Oracle celo poskuša izkoristiti to težavo z združevanjem groznih Ask Toolbar in drugih junkwareov z posodobitvami Java - ostani eleganten, Oracle.
Oracle je predal na Sandboxing Java Plug-in
Vtičnik Java zažene Java program - ali »Java applet« - vgrajen na spletni strani, podobno kot Adobe Flash. Ker je Java kompleksen jezik, ki se uporablja za vse, od namiznih aplikacij do strežniške programske opreme, je bil vtičnik prvotno zasnovan za izvajanje teh programov Java v varnem peskovniku. To bi jim preprečilo, da bi na vaš sistem delali grde stvari, tudi če bi poskusili.
Kakorkoli že, to je teorija. V praksi je navidezno nepretrgan niz ranljivosti, ki Java appletom omogoča, da se izognejo peskovniku in izvedejo grobo zagon nad vašim sistemom..
Oracle se zaveda, da je peskovnik zdaj v bistvu pokvarjen, zato je peskovnik v bistvu mrtev. Odrekli so se tega. Po privzetku Java ne bo več izvajala "nepodpisanih" programčkov. Izvajanje nepodpisanih programčkov ne bi smelo biti problem, če je varnostni predal zanesljiv - zato običajno ni težko zagnati vsebine Adobe Flash, ki jih najdete v spletu. Tudi če so v Flashu prisotne ranljivosti, so fiksne in Adobe ne odneha s peskovnikom Flash.
Java bo privzeto naložila le podpisane programčke. To se sliši dobro, kot dobro izboljšanje varnosti. Vendar pa je tu resna posledica. Ko je programček Java podpisan, se šteje za "zaupanja vrednega" in ne uporablja peskovnika. Kot opozarja opozorilno sporočilo Java:
»Ta aplikacija bo delovala z neomejenim dostopom, kar lahko ogrozi vaš računalnik in osebne podatke.«
Tudi Oracleov lasten applet za preverjanje različice Java - preprost mali programček, ki poganja Javo, da preveri vašo nameščeno različico in vam pove, če morate posodobiti - zahteva popoln dostop do sistema. To je popolnoma noro.
Z drugimi besedami, Java se je res odrekla peskovniku. Privzeto lahko zaženete programček Java ali ga zaženete s polnim dostopom do sistema. Ni mogoče uporabiti peskovnika, če ne prilagodite varnostnih nastavitev Java. Peskovnik je tako nezanesljiv, da vsak del Java kode, na katerega naletite, potrebuje popoln dostop do vašega sistema. Prav tako lahko prenesete program Java in ga zaženete, namesto da se zanašate na vtičnik brskalnika, ki ne ponuja dodatne varnosti, ki je bila prvotno zasnovana za zagotavljanje.
Kot je pojasnil razvijalec Java: "Oracle namerno umakne varnostni pesek Java pod pretvezo, da izboljšuje varnost."
Spletni brskalniki ga onemogočajo sami
K sreči so spletni brskalniki stopili v to, da bi popravili neukrepanje Oracla. Tudi če imate nameščen in omogočen vtičnik brskalnika Java, Chrome in Firefox privzeto ne naložita vsebine Java. Za vsebino Java uporabljajo »klik za predvajanje«.
Internet Explorer še vedno samodejno naloži vsebino Java. Internet Explorer se je nekoliko izboljšal - končno je začel blokirati zastarele in občutljive kontrolnike ActiveX skupaj z »Windows 8.1 avgustovsko posodobitvijo« (to je Windows 8.1 Update 2) v avgustu 2014. Chrome in Firefox sta to počela dlje časa . Internet Explorer je tu za drugimi brskalniki - spet.
Kako onemogočiti vtičnik Java
Vsi, ki potrebujejo nameščeno Javo, morajo vsaj onemogočiti vtičnik na nadzorni plošči jave. Z novimi različicami Java lahko enkrat pritisnete tipko Windows, da odprete meni Start ali začetni zaslon, vnesite »Java« in nato kliknite »Konfiguriraj Java« bližnjico. Na kartici Varnost počistite možnost »Omogoči vsebino Java v brskalniku«.
Tudi po tem, ko boste onemogočili vtičnik, bo Minecraft in katera koli druga namizna aplikacija, ki je odvisna od Jave, v redu. To bo blokiralo samo aplete Java, ki so vgrajeni na spletnih straneh.
Ja, Java apleti še vedno obstajajo v divjini. Najverjetneje jih boste najpogosteje našli na notranjih spletnih mestih, kjer ima neko podjetje starodavno aplikacijo, napisano kot programček Java. Apleti Java so mrtva tehnologija in izginjajo iz potrošniškega spleta. Morali bi tekmovati z Flashom, vendar so izgubili. Tudi če potrebujete Javo, verjetno ne potrebujete vtičnika.
Občasno podjetje ali uporabnik, ki potrebuje vtičnik brskalnika Java, mora obiskati nadzorno ploščo Java in se odločiti, da jo omogoči. Vtičnik je treba obravnavati kot podedovano možnost združljivosti.