Oracle nemůže zabezpečit Java Plug-in, tak proč je stále povoleno výchozí?

V roce 2013 byla Java zodpovědná za 91 procent všech počítačových kompromisů. Většina lidí má nejen zapnutý plug-in prohlížeče Java, ale využívá zastaralou verzi. Ahoj, Oracle - je načase, aby se standardně deaktivoval.

Oracle ví, že situace je katastrofa. Opustili bezpečnostní karanténu Java plug-in, původně navrženou tak, aby vás ochránila před škodlivými Java applety. Java applety na webu získají úplný přístup k vašemu systému s výchozím nastavením.

Plugin Java Browser je úplná katastrofa

Obránci Java mají tendenci si stěžovat, kdykoli stránky, jako je naše, píší, že Java je extrémně nejistá. "To je jen plug-in prohlížeče," říkají - uznávají, jak zlomená je. Ale tento nezabezpečený plug-in pro prohlížeče je ve výchozím nastavení povolen v každé jednotlivé instalaci Java. Statistika mluví sama za sebe. Dokonce i zde v systému How-To Geek má 95% našich uživatelů, kteří nemají mobilní připojení, povoleno plug-in Java. A my jsme webové stránky, které stále informují naše čtenáře o odinstalaci Java nebo alespoň o vypnutí plug-inu.

Celosvětové studie stále ukazují, že většina počítačů s nainstalovanou aplikací Java disponuje zastaralým Java plug-in prohlížečem, který je dostupný pro škodlivé webové stránky, aby zpustošili. V roce 2013 studie společnosti Websense Security Labs ukázala, že 80 procent počítačů mělo zastaralé, zranitelné verze Java. Dokonce i ty nejcharakterističtější studie jsou děsivé - mají tendenci tvrdit, že více než 50 procent Java plug-inů je zastaralých.

V roce 2014 výroční bezpečnostní zpráva společnosti Cisco uvedla, že 91 procent všech útoků v roce 2013 bylo proti Java. Oracle se dokonce pokouší využít tohoto problému tím, že spojuje strašlivou nástrojovou lištu Ask a další junkware s aktualizací Java - zůstává klasický, Oracle.

Oracle Gave Up na sandboxingu Java Plug-in

Java plug-in spouští Java program - nebo "Java applet" - vložený na webovou stránku, podobně jako Adobe Flash. Vzhledem k tomu, že Java je složitý jazyk používaný pro vše od desktopových aplikací až po serverový software, byl plug-in původně navržen tak, aby tyto programy Java spustil do bezpečného prostředí. To by jim zabránilo v tom, že by váš systém dělají nepříjemné věci, i kdyby se o to pokusili.

To je teorie. V praxi existuje zdánlivě nekonečný proud zranitelných míst, které umožňují Java appletům uniknout z pískovce a spustit hrubou hru nad vaším systémem.

Oracle si uvědomí, že pískoviště je nyní v podstatě zlomené, takže pískoviště je nyní v podstatě mrtvé. Opustili to. Ve výchozím nastavení Java již nebude používat "nepodepsané" applety. Spouštění nepodepsaných appletů by nemělo být problémem, kdyby karta zabezpečení byla důvěryhodná - to je důvod, proč není obecně problém spouštět obsah Adobe Flash, který najdete na webu. Dokonce i v případě, že jsou ve Flashu chyby zabezpečení, jsou opraveny a Adobe se nevzdává sandboxu Flash.

Ve výchozím nastavení aplikace Java načte pouze podepsané applety. To zní dobře, jako dobré zlepšení zabezpečení. Zde je však vážný důsledek. Když je applet Java podepsán, považuje se za "důvěryhodnou" a nepoužívá karanténu. Jak uvádí varovná zpráva Java:

"Tato aplikace bude fungovat s neomezeným přístupem, který může ohrozit váš počítač a osobní informace."

Dokonce i samotná aplikace Oracle pro kontrolu verzí jazyka Java - jednoduchý malý applet, který spouští Java, aby zkontroloval nainstalovanou verzi a informuje, zda potřebujete aktualizovat - vyžaduje tento úplný přístup k systému. To je úplně šílené.

Jinými slovy, Java skutečně opustil pískoviště. Ve výchozím nastavení nelze spustit applet Java nebo jej spustit s plným přístupem k systému. Neexistuje žádný způsob, jak používat pískoviště, pokud nestíháte nastavení zabezpečení Java. Sandbox je tak nedůvěryhodný, že každý bit Java kódu, který narazíte online, potřebuje plný přístup do vašeho systému. Můžete také stahovat program Java a spouštět jej spíše než spoléhat na plug-in prohlížeče, který nenabízí dodatečné zabezpečení, které bylo původně navrženo tak, aby poskytovalo.

Jak jeden vývojář Java vysvětlil: "Oracle záměrně zabíjí bezpečnostní karanténu Java pod záminkou zlepšení bezpečnosti."

Webové prohlížeče tuto funkci zakazují

Naštěstí webové prohlížeče vstoupí na trh, aby opravily nečinnost společnosti Oracle. I když máte nainstalovaný a povolený plug-in prohlížeče Java, Chrome a Firefox nebudou ve výchozím nastavení načítat obsah Java. Používají "obsah pro přehrávání" pro obsah Java.

Internet Explorer stále automaticky načítá obsah Java. Internet Explorer se poněkud zlepšil - konečně začal zablokovat zastaralé, zranitelné ovládací prvky ActiveX společně s "Windows 8.1 August Update" (aka Windows 8.1 Update 2) v srpnu 2014. Chrome a Firefox to dělají mnohem déle . Internet Explorer je za ostatními prohlížeči - opět.

Jak zakázat modul Java Plug-in

Každý, kdo potřebuje nainstalovanou Java, by měl přinejmenším zakázat plug-in z ovládacího panelu java. S nejnovějšími verzemi Java můžete klepnutím na tlačítko Windows jednou otevřít nabídku Start nebo Start, zadejte "Java" a potom klepněte na zástupce "Konfigurovat Java". Na kartě Zabezpečení zrušte zaškrtnutí políčka "Povolit obsah Java v prohlížeči".

Dokonce i poté, co zakážete plug-in, bude Minecraft a jakákoli jiná desktopová aplikace, která závisí na jazyce Java, fungovat správně. Toto blokuje pouze Java applety vložené na webových stránkách.

Ano, Java applety stále existují ve volné přírodě. Nejčastěji je najdete na interních stránkách, kde má nějaká firma starou aplikaci napsanou jako Java applet. Java applety jsou však mrtvou technologií a mizí ze spotřebitelského webu. Oni měli soutěžit s Flashem, ale ztratili. Dokonce i když potřebujete Java, pravděpodobně nepotřebujete plug-in.

Příležitostná společnost nebo uživatel, který potřebuje plug-in prohlížeče Java, by měl jít do ovládacího panelu Java a zvolit jej. Plug-in by měl být považován za starší možnost kompatibility.