Skip to main content

Oracle kan ikke sikre Java-plugin-modulen, så hvorfor er den fortsatt aktivert som standard?

Oracle kan ikke sikre Java-plugin-modulen, så hvorfor er den fortsatt aktivert som standard?

Geoffrey Carr

Java var ansvarlig for 91 prosent av alle datakompromisser i 2013. De fleste bruker ikke bare Java-nettleser-plugin-modulen - de bruker en utdatert, sårbar versjon. Hei, Oracle - det er på tide å deaktivere denne plugin-modulen som standard.

Oracle vet at situasjonen er en katastrofe. De har gitt opp på Java-pluginens sikkerhetssandkasse, opprinnelig designet for å beskytte deg mot ondsinnede Java-applets. Java-applets på nettet får full tilgang til systemet ditt med standardinnstillingene.

Java-nettleserpluggen er en komplett katastrofe

Forsvarere av Java pleier å klage når nettsteder som våre skriver at Java er ekstremt usikkert. "Det er bare nettleser-plugin-modulen," sier de - anerkjenner hvor ødelagt det er. Men den usikre nettleserpluggen er aktivert som standard i hver enkelt installasjon av Java der ute. Statistikken snakker for seg selv. Selv her på How-To Geek, har 95 prosent av våre ikke-mobile besøkende aktivert Java-plugin-modulen. Og vi er en nettside som forteller at leserne våre skal avinstallere Java eller i alle fall deaktivere plugin-modulen.

Internett-studier viser at de fleste datamaskiner med Java installert har en utdatert Java-nettleser-plugin tilgjengelig for ondsinnede nettsteder å ødelegge. I 2013 viste en undersøkelse fra Websense Security Labs at 80 prosent av datamaskiner hadde utdaterte, sårbare versjoner av Java. Selv de mest veldedige studiene er skummelt - de pleier å hevde at mer enn 50 prosent av Java-plugin-modulene er utdaterte.

I 2014 sa Cisco årlige sikkerhetsrapport at 91 prosent av alle angrepene i 2013 var mot Java. Oracle prøver å utnytte dette problemet ved å kombinere den forferdelige Ask Toolbar og annen junkware med Java-oppdateringer. Hold deg stilig, Oracle.

Oracle ga opp på Java Plug-in's Sandboxing

Java-plugin-modulen kjører et Java-program - eller "Java-applet" - innebygd på en nettside, som ligner på hvordan Adobe Flash fungerer. Fordi Java er et komplekst språk som brukes for alt fra desktopprogrammer til serverprogramvare, ble plugin-modulen opprinnelig utformet for å kjøre disse Java-programmene i en sikker sandkasse. Dette ville forhindre at de gjorde ekkel ting i systemet ditt, selv om de prøvde.

Det er altså teorien. I praksis er det en tilsynelatende uendelig strøm av sårbarheter som tillater Java-applets å unnslippe sandkassen og kjøre roughshod over systemet.

Oracle innser at sandkassen er i utgangspunktet ødelagt, så sandkassen er nå i utgangspunktet død. De har gitt opp på det. Som standard vil Java ikke lenger kjøre "usignerte" applets. Kjører usignerte applets bør ikke være et problem hvis sikkerhetssandboken var troverdig - derfor er det generelt ikke et problem å kjøre alt Adobe Flash-innhold du finner på nettet. Selv om det er sårbarheter i Flash, er de løst, og Adobe gir ikke opp på Flashs sandboxing.

Som standard laster Java bare signerte applets. Det høres bra ut, som en god sikkerhetsforbedring. Det er imidlertid en alvorlig konsekvens her. Når en Java-applet er signert, anses den som "klarert" og den bruker ikke sandkassen. Som Java varslingsmelding setter det:

“This application will run with unrestricted access which may put your computer and personal information at risk.”

Selv Oracle egen Java-versjon sjekk applet - en enkel liten applet som kjører Java for å sjekke din installerte versjon og forteller deg om du trenger å oppdatere - krever full tilgang til systemet. Det er helt vanvittig.

Med andre ord, Java har virkelig gitt opp på sandkassen. Som standard kan du heller ikke kjøre en Java-applet eller kjøre den med full tilgang til systemet. Det er ingen måte å bruke sandkassen med mindre du justerer Java-sikkerhetsinnstillingene. Sandkassen er så usikker på at alle Java-kodene du møter online trenger full tilgang til systemet ditt. Du kan også bare laste ned et Java-program og kjøre det i stedet for å stole på nettleser-plugin-modulen, som ikke gir den ekstra sikkerheten den opprinnelig ble utformet for å gi.

Som en Java-utvikler forklarte: "Oracle forsøker å drepe Java-sikkerhetssandboken under forutsetning for å forbedre sikkerheten."

Nettlesere deaktiverer det på egen hånd

Heldigvis går nettlesere inn for å rette opp Oracle's passivitet. Selv om du har installert og aktivert Java-nettleser-plugin-modulen, vil Chrome og Firefox ikke laste inn Java-innhold som standard. De bruker "klikk-til-spill" for Java-innhold.

Internet Explorer laster automatisk automatisk inn Java-innhold. Internet Explorer har forbedret seg noe - det begynte endelig å blokkere utdaterte, sårbare ActiveX-kontroller sammen med "Windows 8.1 August Update" (også Windows 8.1 Update 2) i august 2014. Chrome og Firefox har gjort dette mye lenger . Internet Explorer ligger bak andre nettlesere her - igjen.

Slik deaktiverer du Java Plug-in

Alle som trenger Java installert, bør i det minste deaktivere plugin-modulen fra java Kontrollpanel. Med nyere versjoner av Java kan du trykke på Windows-tasten en gang for å åpne Start-menyen eller Start-skjermbildet, skrive "Java", og deretter klikke "Konfigurer Java" -genveien. På fanen Sikkerhet fjerner du merket for "Aktiver Java-innhold i nettleseren".

Selv etter at du deaktiverer plugin-modulen, vil Minecraft og et annet skrivebordsprogram som er avhengig av Java, gå bra. Dette vil bare blokkere Java-applets som er innebygd på nettsider.


Ja, Java-applets eksisterer fortsatt i naturen. Du finner sannsynligvis dem mest på interne nettsteder der noen selskaper har en gammel applikasjon skrevet som en Java-applet. Men Java-applets er en død teknologi, og de forsvinner fra forbrukerweb. De skulle konkurrere med Flash, men de mistet. Selv om du trenger Java, trenger du sannsynligvis ikke plugin-modulen.

Det enkelte selskapet eller brukeren som trenger Java-nettleser-plugin-modulen, må gå inn i Java-kontrollpanelet og velge å aktivere det. Plug-in bør betraktes som et eldre kompatibilitetsalternativ.

Link
Plus
Send
Send
Pin