„Oracle“ negali apsaugoti „Java“ papildinio, taigi kodėl ji vis dar įgalinta pagal nutylėjimą?

„Java“ buvo atsakinga už 91 proc. Visų kompromisų kompiuteryje. Dauguma žmonių ne tik įgalino „Java“ naršyklės papildinį, bet ir naudoja pasenusią, pažeidžiamą versiją. Ei, Oracle - atėjo laikas išjungti šį papildinį pagal nutylėjimą.

„Oracle“ žino, kad situacija yra katastrofa. Jie atsisakė „Java“ papildinio saugumo smėlio dėžės, kuri iš pradžių buvo skirta apsaugoti jus nuo kenkėjiškų „Java“ programų. „Java“ programėlės internete suteikia visišką prieigą prie jūsų sistemos su numatytais nustatymais.

„Java“ naršyklės papildinys yra užbaigta nelaimė

„Java“ gynėjai linkę skųstis, kai tokios svetainės, kaip mūsų, rašo, kad „Java“ yra labai nesaugi. „Tai tik naršyklės papildinys“, - sako jie - pripažindami, kaip jis yra. Bet šis nesaugus naršyklės papildinys yra įjungtas pagal numatytuosius nustatymus kiekviename „Java“ įrenginyje. Statistika kalba už save. Net čia, „How-To Geek“, 95 procentai mūsų ne mobiliųjų lankytojų turi „Java“ papildinį. Ir mes esame svetainė, kuri nuolat pasakoja mūsų skaitytojams pašalinti „Java“ arba bent išjungti papildinį.

Tyrimai internete rodo, kad dauguma „Java“ įdiegtų kompiuterių turi pasenusią „Java“ naršyklės papildinį, skirtą kenkėjiškoms svetainėms. 2013 m. „Websense Security Labs“ tyrimas parodė, kad 80 proc. Kompiuterių buvo pasenusios, pažeidžiamos „Java“ versijos. Netgi geriausi labdaros tyrimai yra baisūs - jie linkę teigti, kad daugiau nei 50 procentų „Java“ papildinių yra pasenę.

2014 m. „Cisco“ metinė saugumo ataskaita parodė, kad 2013 m. 91 proc. Visų atakų buvo prieš „Java“. „Oracle“ netgi bando pasinaudoti šia problema susiejant siaubingą „Ask Toolbar“ ir kitas „junkware“ su „Java“ naujinimais - likti elegantiškas, „Oracle“.

„Oracle Gave Up“ yra „Java“ papildinio „Sandboxing“

„Java“ papildinys palaiko „Java“ programą - arba „Java“ programėlę - įdėtą į tinklalapį, panašų į tai, kaip veikia „Adobe Flash“. Kadangi „Java“ yra sudėtinga kalba, naudojama visur nuo darbalaukio programų iki serverio programinės įrangos, „plug-in“ buvo sukurtas paleisti šias „Java“ programas saugioje smėlio dėžėje. Tai užkirstų kelią jiems daryti bjaurus dalykus jūsų sistemai, net jei jie bandė.

Vis dėlto tai teorija. Praktikoje, atrodo, niekada nebaigtas pažeidimų srautas, leidžiantis „Java“ programėlėms pabėgti nuo smėlio dėžės ir paleisti šiurkščiavimą per jūsų sistemą.

„Oracle“ supranta, kad smėlio dėžė dabar yra iš esmės pažeista, todėl smėlio dėžė dabar yra iš esmės mirusi. Jie atsisakė. Pagal numatytuosius nustatymus „Java“ nebebus rodomi „nepasirašyti“ programėlės. Neišsiųstų programėlių veikimas neturėtų būti problema, jei saugus smėlio dėžė buvo patikima - todėl paprastai nėra problemos paleisti bet kokį „Adobe Flash“ turinį, kurį rasite internete. Net jei yra „Flash“ spragų, jie yra fiksuoti ir „Adobe“ nepalieka „Flash“ smėlio dėžės.

Pagal numatytuosius nustatymus „Java“ įkels tik pasirašytus programėlės. Tai skamba gerai, kaip geras saugumo pagerinimas. Tačiau čia yra rimta pasekmė. Pasirašius „Java“ programėlę, ji laikoma „patikima“ ir ji nenaudoja smėlio dėžės. Kaip įspėjamas „Java“ pranešimas:

„Ši programa veiks su neribota prieiga, kuri gali kelti pavojų jūsų kompiuteriui ir asmeninei informacijai“.

Net ir „Oracle“ „Java“ versijos tikrinimo programėlė - paprasta maža aplikacija, kuri palaiko „Java“, kad patikrintų jūsų įdiegtą versiją, ir pasakys, ar jums reikia atnaujinti - reikia visos sistemos prieigos. Tai visiškai neįprasta.

Kitaip tariant, „Java“ tikrai atsisakė smėlio dėžės. Pagal numatytuosius nustatymus galite paleisti „Java“ programėlę arba paleisti ją su visa prieiga prie sistemos. Smėlio dėžė nenaudojama, nebent patobulint „Java“ saugos nustatymus. Smėlio dėžė yra tokia nepatikima, kad kiekvienam „Java“ kodui, su kuriuo susiduriate internete, reikia visiškos prieigos prie jūsų sistemos. Taip pat galite tiesiog atsisiųsti „Java“ programą ir paleisti ją, o ne pasikliauti naršyklės papildiniu, kuris nesuteikia papildomo saugumo, kuris buvo sukurtas siekiant suteikti.

Kaip paaiškino vienas „Java“ kūrėjas: „„ Oracle “sąmoningai nužudo„ Java “saugumo smėlio dėžę pagal apsisprendimą pagerinti saugumą.“

Žiniatinklio naršyklės ją išjungia

Laimei, žiniatinklio naršyklės stengiasi išspręsti „Oracle“ neveiklumą. Net jei turite įdiegtą ir įjungtą „Java“ naršyklės papildinį, „Chrome“ ir „Firefox“ pagal nutylėjimą neįkelia „Java“ turinio. „Java“ turiniui jie naudoja „click-to-play“.

„Internet Explorer“ vis dar automatiškai įkelia „Java“ turinį. „Internet Explorer“ šiek tiek pagerėjo - pagaliau 2014 m. Rugpjūčio mėn. Jis pradėjo blokuoti pasenusius, pažeidžiamus „ActiveX“ valdiklius kartu su „Windows 8.1 August Update“ (dar žinomas kaip „Windows 8.1 Update 2“). „Chrome“ ir „Firefox“ tai darė daug ilgiau . Internet Explorer yra už kitų naršyklių čia - dar kartą.

Kaip išjungti „Java“ papildinį

Kiekvienas, kuriam reikia „Java“ įdiegimo, turėtų bent išjungti „plug-in“ iš „Java“ valdymo skydo. Naudodami naujausias „Java“ versijas galite vieną kartą paliesti „Windows“ klavišą, kad atidarytumėte meniu Pradėti arba pradžios ekraną, įveskite „Java“ ir spustelėkite nuorodą „Konfigūruoti„ Java “. Skirtuke Sauga panaikinkite parinktį „Įjungti„ Java “turinį naršyklėje”.

Net po to, kai išjungsite papildinį, „Minecraft“ ir bet kuri kita „Java“ priklausanti darbalaukio programa veiks puikiai. Tai užblokuos tik „Java“ programėlę, įdėtą į tinklalapius.

Taip, „Java“ programėlės vis dar egzistuoja lauke. Tikriausiai juos rasite dažniausiai vidinėse svetainėse, kur kai kuri kompanija turi seną programą, parašytą kaip „Java“ programėlė. Tačiau „Java“ programėlės yra negyvos technologijos ir jos išnyksta iš vartotojų interneto. Jie turėjo konkuruoti su „Flash“, bet jie prarado. Net jei jums reikia „Java“, jums tikriausiai nereikia papildinio.

Atsitiktinė kompanija ar vartotojas, kuriam reikia „Java“ naršyklės papildinio, tur ÷ tų eiti į „Java“ valdymo skydą ir pasirinkti jį įgalinti. Įskiepis turėtų būti laikomas paliktu suderinamumo pasirinkimu.