Oracle ei voi suojata Java-laajennusta, joten miksi se on edelleen käytössä oletuksena?
Java vastasi 91 prosentista kaikista kompromisseista vuonna 2013. Useimmilla ihmisillä ei ole vain Java-selaimen laajennusta - he käyttävät vanhentunutta, haavoittuvaa versiota. Hei, Oracle - on aika poistaa kyseinen laajennus oletusarvoisesti.
Oracle tietää tilanteen olevan katastrofi. He ovat luopuneet Java-plug-inin turvallisuushiekkalaatikosta, joka oli alun perin suunniteltu suojaamaan sinua haitallisilta Java-sovelmilta. Java-sovelmat verkossa saavat täydellisen pääsyn järjestelmäänsi oletusasetuksilla.
Java-selaimen laajennus on täydellinen katastrofi
Java-puolustajat pyrkivät valittamaan aina, kun sivustomme, kuten meidän, kirjoittavat, että Java on erittäin epävarma. "Se on vain selaimen laajennus", he sanovat - tunnustavat, kuinka rikki se on. Mutta tämä epävarma selaimen laajennus on oletusarvoisesti käytössä jokaisessa Java-asennuksessa. Tilastot puhuvat puolestaan. Jopa täällä How-To Geek -palvelussa 95 prosentilla ei-mobiilikäyttäjistämme on käytössä Java-laajennus. Ja olemme verkkosivusto, joka kertoo lukijoillemme poistaa Java-ohjelman tai ainakin poistaa plug-inin käytöstä.
Internetin laajuiset tutkimukset osoittavat, että useimmilla Java-tietokoneilla on vanhentunut Java-selaimen laajennus, jota haittaohjelmat voivat vahingoittaa. Websense Security Labsin tutkimus osoitti vuonna 2013, että 80 prosenttia tietokoneista oli vanhentuneita ja haavoittuvia Java-versioita. Jopa kaikkein hyväntekeväisyyteen liittyvät tutkimukset ovat pelottavia - he yleensä vaativat yli 50 prosenttia Java-laajennuksista vanhentuneita.
Vuonna 2014 Ciscon vuotuinen turvallisuusraportti sanoi, että vuonna 2013 hyökkäyksistä 91 prosenttia oli Java-vastaisia. Oracle yrittää jopa hyödyntää tätä ongelmaa yhdistämällä kauhea Ask Toolbar ja muut junkware Java-päivityksillä - pysy tyylikkinä, Oracle.
Oracle Gave Up on Java Plug-inin Sandboxingissa
Java-laajennus käyttää Java-ohjelmaa - tai Java-sovelmia -, joka on upotettu Web-sivulle, kuten Adobe Flash toimii. Koska Java on monimutkainen kieli, jota käytetään kaikkeen työpöytäsovelluksista palvelinohjelmistoon, laajennus on alun perin suunniteltu suorittamaan nämä Java-ohjelmat suojatussa hiekkalaatikossa. Tämä estäisi heitä tekemästä ilkeitä asioita järjestelmään, vaikka he yrittäisivät.
Se on kuitenkin teoria. Käytännössä on näennäisesti loputon haavoittuvuusvirta, jonka avulla Java-appletit voivat välttää hiekkalaatikon ja ajaa karkeasti järjestelmääsi.
Oracle ymmärtää, että hiekkalaatikko on nyt pohjimmiltaan rikki, joten hiekkalaatikko on nyt pohjimmiltaan kuollut. He ovat luopuneet siitä. Oletusarvon mukaan Java ei enää käytä "allekirjoittamattomia" sovelmia. Allekirjoittamattomien applettien käyttäminen ei saisi olla ongelma, jos tietoturvahiekkalaatikko oli luotettava - siksi ei yleensä ole ongelma käyttää mitä tahansa Webissä löytyvää Adobe Flash -sisältöä. Vaikka Flashissa olisi haavoittuvuuksia, ne on korjattu ja Adobe ei luovuta Flashin hiekkalaatikoista.
Oletusarvoisesti Java ladaa vain allekirjoitettuja sovelmia. Se kuulostaa hyvältä, kuten hyvä turvallisuuden parantaminen. Täällä on kuitenkin vakava seuraus. Kun Java-sovelma on allekirjoitettu, sitä pidetään "luotettuna" eikä se käytä hiekkalaatikkoa. Java-varoitusviestin mukaan:
”Tämä sovellus toimii rajoittamattomasti, mikä saattaa vaarantaa tietokoneen ja henkilökohtaiset tiedot.”
Jopa Oraclein oma Java-versio tarkistaa sovelman - yksinkertaisen pienen appletin, joka käyttää Java-ohjelmaa tarkistamaan asennetun version, ja kertoo, jos tarvitset päivitystä - vaatii tämän täyden järjestelmän käytön. Se on täysin järjetöntä.
Toisin sanoen, Java on todella luopunut hiekkalaatikosta. Oletusarvoisesti voit joko ajaa Java-sovelman tai käyttää sitä täysin järjestelmään. Hiekkalaatikkoa ei voi käyttää vain, jos Java-suojausasetuksia ei näy. Hiekkalaatikko on niin epäluotettava, että jokainen online-koodi, jota käytät verkossa, tarvitsee täyden pääsyn järjestelmään. Saatat vain ladata Java-ohjelman ja käyttää sitä sen sijaan, että luottaisit selaimen laajennukseen, joka ei tarjoa ylimääräistä suojausta, joka oli alun perin suunniteltu tarjoamaan.
Kuten yksi Java-kehittäjä selitti: ”Oracle tappaa Java-suojahiekkalaatikon tarkoituksella parantamalla turvallisuutta.”
Web-selaimet poistavat sen omasta käytöstä
Onneksi web-selaimet vahvistavat Oracle-toimettomuuden. Vaikka sinulla on Java-selaimen plug-in asennettu ja käytössä, Chrome ja Firefox eivät lataa Java-sisältöä oletusarvoisesti. He käyttävät Java-sisältöä varten napsauttamalla-to-playia.
Internet Explorer lataa automaattisesti Java-sisältöä. Internet Explorer on parantunut jonkin verran - se alkoi lopulta estää vanhentuneet, haavoittuvat ActiveX-komponentit sekä Windows 8.1 -päivityspäivitys (eli Windows 8.1 -päivitys 2) elokuussa 2014. Chrome ja Firefox ovat tehneet tämän paljon kauemmin . Internet Explorer on muiden selainten takana - jälleen.
Java-laajennuksen poistaminen käytöstä
Jokaisen, joka tarvitsee Java-asennuksen, tulee poistaa vähintään plug-in java-ohjauspaneelista. Java-versioiden uusimpien versioiden avulla voit napauttaa Windows-näppäintä kerran avataksesi Käynnistä-valikon tai Aloitusnäytön, kirjoita "Java" ja napsauta sitten "Määritä Java" -pikakuvaketta. Poista Suojaus-välilehdestä Ota Java-sisältö käyttöön selaimessa -valintaruutu.
Jopa sen jälkeen, kun plug-in on poistettu käytöstä, Minecraft ja muut Java-sovelluksesta riippuvat työpöytäsovellukset toimivat vain hyvin. Tämä estää vain verkkosivuihin upotetut Java-sovelmat.
Kyllä, Java-sovelmia on edelleen luonnossa. Löydät ne todennäköisesti useimmiten sisäisissä sivustoissa, joissa joillakin yrityksillä on vanha sovellus, joka on kirjoitettu Java-appletiksi. Mutta Java-sovelmat ovat kuolleita tekniikoita ja ne katoavat kuluttajaverkosta. Heidän piti kilpailla Flashin kanssa, mutta he menettivät. Vaikka tarvitset Java-ohjelmaa, et välttämättä tarvitse laajennusta.
Joskus yritys tai käyttäjä, joka tarvitsee Java-selaimen laajennuksen, joutuu menemään Java-ohjauspaneeliin ja valitsemaan sen käyttöön. Plug-inia tulisi pitää vanhana yhteensopivuusvaihtoehtona.