Pagina principala » HOWTO » Oracle nu poate securiza plug-in-ul Java, deci de ce este încă activat implicit?

    Oracle nu poate securiza plug-in-ul Java, deci de ce este încă activat implicit?

    Java a fost responsabil pentru 91% din toate compromisurile pe calculator în 2013. Cei mai mulți oameni nu numai că au plug-in browser-ul Java activat - folosesc o versiune existentă, vulnerabilă. Hei, Oracle - este timpul să dezactivați pluginul implicit.

    Oracle știe că situația este un dezastru. Au renunțat la nisipul de securitate al plug-in-ului Java, proiectat inițial pentru a vă proteja de applet-urile malware. Aplicațiile Java de pe web beneficiază de acces complet la sistemul dvs. cu setările implicite.

    Pluginul Java Browser este un dezastru complet

    Apărătorii Java tind să se plângă ori de câte ori site-uri precum cele ale noastre scriu că Java este extrem de nesigur. "Acesta este doar plug-in-ul browser-ului", spun ei - recunoscând cât de rupt este. Dar plug-in-ul browser-ului nesigur este activat implicit în fiecare instalare Java. Statisticile vorbesc de la sine. Chiar și aici, la How-To Geek, 95% dintre vizitatorii noștri mobili au plug-in-ul Java activat. Și suntem un site web care continuă să spună cititorilor noștri să dezinstaleze Java sau cel puțin să dezactiveze plug-in-ul.

    Studiile la nivel de Internet continuă să demonstreze că majoritatea computerelor cu Java instalate au un plug-in de browser Java existent, disponibil pentru site-uri rău intenționate, pentru a devasta. În 2013, un studiu efectuat de Websense Security Labs a arătat că 80% din computere au versiuni excluse ale Java. Chiar și cele mai caritabile studii sunt înfricoșătoare - ei tind să pretindă că mai mult de 50% din plug-in-urile Java sunt învechite.

    În 2014, raportul anual de securitate al Cisco arată că 91% din toate atacurile din 2013 au fost împotriva Java. Oracle chiar încearcă să profite de această problemă prin legarea teribilă a Bara de instrumente Ask și a altor junkware cu actualizări Java - să rămână clasă, Oracle.

    Oracle a venit pe sandbox-ul Plug-in-ului Java

    Pluginul Java rulează un program Java - sau "applet Java" - încorporat pe o pagină web, similar cu modul în care funcționează Adobe Flash. Deoarece Java este un limbaj complex folosit pentru orice, de la aplicații desktop la software de server, plug-in-ul a fost inițial proiectat pentru a rula aceste programe Java într-un sandbox securizat. Acest lucru le-ar împiedica să facă lucruri urâte în sistemul dvs., chiar dacă au încercat.

    Aceasta este teoria, oricum. În practică, există un flux de vulnerabilități aparent neterminat, care permite apleturilor Java să scape din cutia de nisip și să execute rușine asupra sistemului dvs..

    Oracle își dă seama că nisipul este acum practic rupt, așa că nisipul este acum aproape mort. Au renunțat la asta. În mod implicit, Java nu va mai executa applet-uri "nesemnate". Rularea applet-urilor nesemnate nu ar trebui să fie o problemă dacă caseta de securitate a fost de încredere - de aceea nu este în general o problemă să rulați conținut Adobe Flash pe care îl găsiți pe web. Chiar dacă există vulnerabilități în Flash, acestea sunt reparate și Adobe nu renunță la sandbox-ul Flash.

    În mod implicit, Java va încărca numai applet-uri semnate. Sună bine, ca o îmbunătățire bună a securității. Cu toate acestea, aici este o consecință serioasă. Când un applet Java este semnat, este considerat "de încredere" și nu utilizează caseta de nisip. În mesajul de avertizare al lui Java se spune:

    "Această aplicație va rula cu acces nerestricționat, care ar putea pune în pericol calculatorul și informațiile dvs. personale".

    Chiar și propriul applet de control al versiunii Java de la Oracle - un applet simplu, care rulează Java pentru a verifica versiunea instalată și vă spune dacă aveți nevoie să actualizați - necesită acest acces complet la sistem. Asta e complet nebun.

    Cu alte cuvinte, Java într-adevăr a renunțat la nisip. În mod implicit, fie nu puteți rula un applet Java, fie îl puteți rula cu acces complet la sistemul dvs. Nu există nicio modalitate de a utiliza sandbox-ul decât dacă modificați setările de securitate ale Java. Nisipul este atât de nesigur că fiecare cod Java pe care îl întâlniți online are nevoie de acces complet la sistemul dvs. S-ar putea să descărcați un program Java și să îl rulați mai degrabă decât să vă bazați pe plug-in-ul browserului, care nu oferă securitatea suplimentară pe care a fost proiectată inițial să o ofere.

    După cum a explicat un dezvoltator Java: "Oracle intenționează să ucidă cutia de securitate de la Java sub pretextul îmbunătățirii securității."

    Browserele Web îl dezactivează pe cont propriu

    Din fericire, browserele web intră pentru a repara inacțiunea Oracle. Chiar dacă aveți instalat și activat browserul Java, Chrome și Firefox nu vor încărca în mod implicit conținutul Java. Ei folosesc "click-to-play" pentru conținutul Java.

    Internet Explorer încarcă automat în continuare conținutul Java. Internet Explorer sa îmbunătățit într-o oarecare măsură - în cele din urmă a început să blocheze controalele ActiveX vulnerabile, împreună cu versiunea "Windows 8.1 August Update" (aka Windows 8.1 Update 2) în august 2014. Chrome și Firefox au făcut acest lucru mult mai mult . Internet Explorer se află în spatele altor browsere aici - din nou.

    Cum să dezactivați Plug-in-ul Java

    Toți cei care au nevoie de Java instalat ar trebui să dezactiveze cel puțin plug-in-ul din panoul de control java. Cu versiunile recente de Java, puteți apăsa o dată tasta Windows pentru a deschide meniul Start sau Start, tastați "Java" și apoi faceți clic pe comanda rapidă "Configure Java". În fila Securitate, debifați opțiunea "Activați conținutul Java în browser".

    Chiar și după ce dezactivați plug-in-ul, Minecraft și orice altă aplicație desktop care depinde de Java va funcționa foarte bine. Aceasta va bloca numai aplicațiile Java applets încorporate pe paginile web.


    Da, applet-urile Java încă mai există în sălbăticie. Probabil că le veți găsi cel mai frecvent pe site-urile interne, unde o companie are o aplicație antică scrisă ca un applet Java. Dar aplicațiile Java sunt o tehnologie moartă și dispăreau de pe internet. Ei trebuiau să concureze cu Flash, dar au pierdut. Chiar dacă aveți nevoie de Java, probabil că nu aveți nevoie de plug-in.

    Întreprinderea ocazională sau utilizatorul care are nevoie de plug-in-ul de browser Java ar trebui să intre în panoul de control Java și să aleagă să o activeze. Plug-in-ul ar trebui considerat o opțiune de compatibilitate.