Oracle ne more zavarovati vtičnika Java, zakaj je torej še vedno privzeto omogočen?



Java je bila v letu 2013 odgovorna za 91 odstotkov vseh računalniških kompromisov. Večina ljudi ima ne le omogočen vtičnik za brskalnik Java, temveč uporablja zastarelo in ranljivo različico. Hej, Oracle – čas je, da privzeto onemogočite ta vtičnik.

Oracle ve, da je situacija katastrofalna. Odpovedali so se varnostnemu peskovniku vtičnika Java, ki je bil prvotno zasnovan za zaščito pred zlonamernimi programčki Java. Java programčki na spletu dobijo popoln dostop do vašega sistema s privzetimi nastavitvami.





Vtičnik Java Browser Plug-in je popolna katastrofa

Zagovorniki Jave se ponavadi pritožujejo, ko spletna mesta, kot je naše, napišejo, da je Java izjemno nevarna. Pravijo, da je to samo vtičnik brskalnika - ob priznavanju, kako pokvarjen je. Toda ta nevaren vtičnik brskalnika je privzeto omogočen v vsaki posamezni namestitvi Jave. Statistika govori sama zase. Tudi tukaj v How-To Geek ima 95 odstotkov naših obiskovalcev, ki niso mobilni, omogočen vtičnik Java. In mi smo spletna stran, ki svojim bralcem kar naprej govori odstranite java oz vsaj onemogočite vtičnik .

Študije na celotnem internetu kažejo, da ima večina računalnikov z nameščeno Javo zastarel vtičnik za brskalnik Java, ki je na voljo za zlonamerna spletna mesta. Leta 2013 je a študija Websense Security Labs pokazala, da ima 80 odstotkov računalnikov zastarele, ranljive različice Jave. Celo najbolj dobrodelne študije so strašljive - ponavadi trdijo, da je več kot 50 odstotkov vtičnikov Java zastarelih.



Leta 2014 Ciscovo letno varnostno poročilo pravi, da je bilo 91 odstotkov vseh napadov v letu 2013 proti Javi. Oracle celo poskuša izkoristiti to težavo z združevanjem grozna orodna vrstica Ask in drugo nezaželeno programsko opremo s posodobitvami Java — ostanite elegantni, Oracle.

Oracle se je odrekel peskovniku vtičnika Java

Vtičnik Java poganja program Java – ali programček Java – vdelan v spletno stran, podobno kot deluje Adobe Flash. Ker je Java zapleten jezik, ki se uporablja za vse od namiznih aplikacij do strežniške programske opreme, je bil vtičnik prvotno zasnovan za izvajanje teh programov Java v varen peskovnik . To bi jim preprečilo, da bi naredili neprijetne stvari z vašim sistemom, tudi če bi poskusili.



Oglas

To je sicer teorija. V praksi obstaja navidezno neskončen tok ranljivosti, ki javanskim programčkom omogočajo, da pobegnejo iz peskovnika in grobo tečejo po vašem sistemu.

Oracle se zaveda, da je peskovnik zdaj v bistvu pokvarjen, zato je peskovnik zdaj v bistvu mrtev. Odpovedali so se temu. Java privzeto ne bo več izvajala nepodpisanih programčkov. Zagon nepodpisanih programčkov ne bi smel biti problem, če je bil varnostni peskovnik vreden zaupanja – zato na splošno ni težava zagnati vsebino Adobe Flash, ki jo najdete v spletu. Tudi če v Flashu obstajajo ranljivosti, so odpravljene in Adobe se ne odreče Flashovemu peskovniku.

Java bo privzeto naložila samo podpisane programčke. To se sliši v redu, kot dobra izboljšava varnosti. Vendar pa je tukaj resna posledica. Ko je programček Java podpisan, se šteje za zaupanja vrednega in ne uporablja peskovnika. Kot pravi Javo opozorilo:

Ta aplikacija bo delovala z neomejenim dostopom, kar lahko ogrozi vaš računalnik in osebne podatke.

Celo Oraclov lasten programček za preverjanje različice Java – preprost mali programček, ki poganja Javo, da preveri vašo nameščeno različico in vam pove, ali morate posodobiti – zahteva ta popoln sistemski dostop. To je popolnoma noro.

Z drugimi besedami, Java je res obupala nad peskovnikom. Privzeto ne morete zagnati programčka Java ali ga zagnati s polnim dostopom do vašega sistema. Peskovnika ni mogoče uporabiti, razen če prilagodite varnostne nastavitve Jave. Peskovnik je tako nezaupljiv, da vsak del kode Java, ki ga srečate na spletu, potrebuje popoln dostop do vašega sistema. Prav tako lahko preprosto prenesete program Java in ga zaženete, namesto da bi se zanašali na vtičnik brskalnika, ki ne ponuja dodatne varnosti, za katero je bil prvotno zasnovan.

Oglas

Kot en razvijalec Java pojasnil : Oracle namerno uničuje varnostni peskovnik Java pod pretvezo izboljšanja varnosti.

Spletni brskalniki ga onemogočijo sami

K sreči se spletni brskalniki vključijo v odpravo Oraclovega nedejavnosti. Tudi če imate nameščen in omogočen vtičnik za brskalnik Java, Chrome in Firefox privzeto ne nalagata vsebine Java. Za vsebino Java uporabljajo klik za predvajanje.

Internet Explorer še vedno samodejno nalaga vsebino Java. Internet Explorer se je nekoliko izboljšal – končno je začel blokirati zastarele, ranljive kontrole ActiveX skupaj z Windows 8.1 avgustovska posodobitev (tudi Windows 8.1 Update 2) avgusta 2014. Chrome in Firefox to počneta že veliko dlje. Internet Explorer je tukaj za drugimi brskalniki — spet.

Kako onemogočiti vtičnik Java

Vsi, ki potrebujejo nameščeno Javo, bi morali vsaj onemogočiti vtičnik na nadzorni plošči java. Pri zadnjih različicah Jave lahko enkrat tapnete tipko Windows, da odprete meni Start ali začetni zaslon, vnesete Java in nato kliknete bližnjico Konfiguriraj Javo. Na zavihku Varnost počistite možnost Omogoči vsebino Java v brskalniku.

Tudi ko onemogočite vtičnik, Minecraft in katera koli druga namizna aplikacija, ki je odvisna od Jave, bo delovala v redu. To bo blokiralo samo programčke Java, vdelane v spletne strani.


Da, programčki Java še vedno obstajajo v naravi. Verjetno jih boste najpogosteje našli na internih spletnih mestih, kjer ima neko podjetje starodavno aplikacijo, napisano kot programček Java. Toda programčki Java so mrtva tehnologija in izginjajo iz potrošniškega spleta. Pomerili naj bi se z Flashom, a so izgubili. Tudi če potrebujete Javo, verjetno ne potrebujete vtičnika.

Oglas

Občasno podjetje ali uporabnik, ki potrebuje vtičnik brskalnika Java, bi moral iti na nadzorno ploščo Jave in se odločiti, da ga omogoči. Vtičnik je treba obravnavati kot možnost združljivosti s starimi različicami.

PREBERITE NAPREJ Profilna fotografija Chrisa Hoffmana Chris Hoffman
Chris Hoffman je glavni urednik How-To Geek. Več kot desetletje piše o tehnologiji in dve leti je bil kolumnist PCWorld. Chris je pisal za The New York Times, bil je intervjuvan kot strokovnjak za tehnologijo na televizijskih postajah, kot je miamijev NBC 6, njegovo delo pa so pokrivale novice, kot je BBC. Od leta 2011 je Chris napisal več kot 2000 člankov, ki so bili prebrani skoraj milijardo krat --- in to samo tukaj, na How-To Geek.
Preberite celotno biografijo

Zanimivi Članki