אורקל לא יכול לאבטח את התוספת ג 'אווה, אז למה זה עדיין מופעל על ידי ברירת מחדל?
ג 'אווה היה אחראי על 91 אחוזים מכלל הפשרות המחשב בשנת 2013. רוב האנשים לא רק את התוספת דפדפן ג'אווה מופעלת - הם משתמשים גרסה מעודכנת, פגיע. היי, Oracle - הגיע הזמן להשבית את הפלאגין כברירת מחדל.
אורקל יודעת שהמצב הוא אסון. הם ויתרו על ארגז חול האבטחה של ג'אווה, שנועד במקור להגן עליך מפני יישומוני Java זדוניים. יישומוני Java באינטרנט מקבלים גישה מלאה למערכת עם הגדרות ברירת המחדל.
דפדפן Java Plug-in הוא אסון מלא
המגנים של ג 'אווה נוטים להתלונן בכל פעם אתרים כמו שלנו לכתוב כי ג' אווה היא מאוד לא מאובטח. "זה רק דפדפן התוספת", הם אומרים - בהכרה כמה שבור זה. אבל זה לא בטוח דפדפן התוספת מופעלת כברירת מחדל בכל התקנה אחת של ג 'אווה שם בחוץ. הסטטיסטיקה מדברת בעד עצמן. אפילו כאן ב- How-To Geek, 95% מהמבקרים הלא-ניידים שלנו מותקנים ב- Java Plug-in. ואנחנו אתר שממשיך לספר לקוראים שלנו להסיר את Java או לפחות לבטל את התוספת.
אינטרנט רחב, מחקרים מראים כי רוב המחשבים עם Java מותקן יש out-of-date Java דפדפן התוספת זמין עבור אתרי אינטרנט זדוניים כדי להרוס. בשנת 2013, מחקר שנערך על ידי Websense Security Labs הראה כי 80 אחוזים מהמחשבים היו לא מעודכנים, גרסאות חשופות של Java. אפילו מחקרים צדקה ביותר מפחידים - הם נוטים לטעון כי יותר מ -50 אחוזים של יישומי ג'אווה הם מיושנים.
בשנת 2014, דו"ח האבטחה השנתי של סיסקו אמר 91 אחוזים מכלל ההתקפות בשנת 2013 היו נגד ג 'אווה. אורקל אפילו מנסה לנצל את הבעיה על ידי bundling את סרגל הכלים שאל נורא ו junkware אחרים עם עדכוני ג 'אווה - להישאר classy, Oracle.
אורקל Gave על ג 'אווה התוספת של sandboxing
התוסף Java מפעיל תוכנית Java - או "Java applet" - מוטבע בדף אינטרנט, בדומה לאופן שבו Adobe Flash פועל. מכיוון ש- Java היא שפה מורכבת המשמשת לכל דבר, החל ביישומי שולחן עבודה ועד לתוכנות שרת, הפלאגין תוכנן במקור להפעלת תוכניות Java אלה בארגז חול מאובטח. זה ימנע מהם לעשות דברים מגעילים למערכת שלך, גם אם הם ניסו.
זאת התיאוריה, בכל אופן. בפועל, קיים זרם בלתי פוסק לכאורה של נקודות תורפה המאפשרות ליישומוני Java להימלט מארגז החול ולהפעיל את הגרגר מעל המערכת שלך.
אורקל מבינה את ארגז החול הוא עכשיו שבור בעצם, ולכן ארגז החול הוא עכשיו מת בעצם. הם ויתרו על זה. כברירת מחדל, Java לא תפעיל עוד יישומונים "לא חתומים". הפעלת יישומונים לא חתומים לא צריכה להיות בעיה אם ארגז חול האבטחה היה אמין - לכן זה בדרך כלל לא בעיה להפעיל כל תוכן Adobe Flash שתמצא באינטרנט. גם אם יש פגיעויות Flash, הם קבועים Adobe לא לוותר על sandboxing של Flash.
כברירת מחדל, Java תטען רק יישומונים חתומים. זה נשמע בסדר, כמו שיפור ביטחוני טוב. עם זאת, יש כאן תוצאה רצינית. כאשר יישומון Java חתום, הוא נחשב "מהימן" והוא אינו משתמש בארגז החול. כפי שמציינת הודעת האזהרה של ג'אווה:
"יישום זה יפעל עם גישה בלתי מוגבלת אשר עלול לשים את המחשב ואת המידע האישי בסיכון."
אפילו גירסת Java של Oracle לבדיקת גירסת Java - יישומון קטן פשוט שמריץ את Java כדי לבדוק את הגירסה המותקנת שלך ואומר לך אם עליך לעדכן - דורש גישה מערכתית מלאה זו. זה לגמרי מטורף.
במילים אחרות, ג 'אווה באמת ויתרה על ארגז חול. כברירת מחדל, לא ניתן להפעיל יישומון Java או להפעיל אותו עם גישה מלאה למערכת. אין דרך להשתמש בארגז החול, אלא אם כן אתה מצמצם את הגדרות האבטחה של Java. ארגז החול הוא כל כך לא אמין כי כל פיסת קוד ג 'אווה אתה נתקל באינטרנט צריך גישה מלאה למערכת שלך. אתה יכול גם פשוט להוריד תוכנית Java ולהפעיל אותו במקום להסתמך על הדפדפן התוספת, אשר אינו מציע את הביטחון הנוסף שהוא תוכנן במקור כדי לספק.
כמו אחד המפתחים Java הסביר: "אורקל הוא בכוונה להרוג את ג 'אווה אבטחה sandbox תחת העמדת פנים של שיפור האבטחה."
דפדפני אינטרנט משביתה את זה בעצמם
למרבה המזל, דפדפני אינטרנט הם צעד כדי לתקן את העדר של אורקל. גם אם הפלאגין של דפדפן Java מותקן ומופעל, Chrome ו- Firefox לא יטענו תוכן Java כברירת מחדל. הם משתמשים "לחץ להפעלה" עבור תוכן Java.
Internet Explorer עדיין טוען תוכן Java באופן אוטומטי. Internet Explorer השתפר במידת מה - זה סוף סוף התחיל לחסום מחוץ לפגישה, פקדי ActiveX פגיעים יחד עם "Windows 8.1 אוגוסט עדכון" (aka Windows 8.1 Update 2) באוגוסט, 2014. Chrome ו- Firefox כבר עושה את זה הרבה יותר זמן . Internet Explorer נמצא מאחורי דפדפנים אחרים כאן - שוב.
כיצד להשבית את התוספת Java
כל מי שצריך Java מותקן צריך לפחות לבטל את התוספת של לוח הבקרה של ג 'אווה. עם גירסאות אחרונות של Java, באפשרותך להקיש על מקש Windows פעם אחת כדי לפתוח את תפריט התחל או התחל מסך, הקלד "Java" ולאחר מכן לחץ על קיצור הדרך "הגדר Java". בכרטיסייה אבטחה, בטל את הסימון באפשרות "אפשר תוכן Java בדפדפן".
גם לאחר השבתת התוספת, Minecraft וכל יישום שולחן עבודה אחר התלוי ב- Java יפעל בסדר גמור. פעולה זו תחסום רק את יישומוני Java המשולבים בדפי אינטרנט.
כן, יישומוני Java עדיין קיימים בטבע. אתה כנראה למצוא אותם בתדירות הגבוהה ביותר על פני אתרים פנימיים שבהם יש חברה יש יישום עתיק שנכתב כמו יישומון Java. אבל יישומוני Java הם טכנולוגיה מתה והם נעלמים מהאינטרנט הצרכני. הם היו אמורים להתחרות בפלאש, אבל הם הפסידו. גם אם אתה צריך Java, אתה כנראה לא צריך את התוספת.
החברה או משתמש מדי פעם כי צריך את הדפדפן Java התוספת צריך להיכנס לוח הבקרה של ג 'אווה ולבחור להפעיל אותו. הפלאגין צריך להיחשב כאפשרות תאימות מדור קודם.