If-Koubou

Oracle nevar nodrošināt Java spraudni, tāpēc kāpēc joprojām tiek aktivizēts pēc noklusējuma?

Oracle nevar nodrošināt Java spraudni, tāpēc kāpēc joprojām tiek aktivizēts pēc noklusējuma? (Kā)

Java bija atbildīga par 91 procentiem no visiem datoru kompromisiem 2013. gadā. Lielākajai daļai cilvēku ir iespējots tikai Java pārlūkprogrammas spraudnis - viņi izmanto novecojušo, neaizsargāto versiju. Hei, Oracle - ir pienācis laiks atspējot šo spraudni pēc noklusējuma.

Oracle zina, ka situācija ir katastrofa. Viņi ir atteikušies uz Java spraudņu drošības sīklietotni, kas sākotnēji bija paredzēta, lai pasargātu jūs no ļaunprātīgām Java sīklietotnēm. Java applets tīmeklī iegūst pilnīgu piekļuvi jūsu sistēmai ar noklusējuma iestatījumiem.

Java pārlūkprogrammas spraudnis ir pilnīga katastrofa

Java aizstāvji mēdz sūdzēties, kad vietnes, piemēram, mūsu, raksta, ka Java ir ārkārtīgi nedroša. "Tas ir tikai pārlūkprogrammas spraudnis," viņi saka - atzīstot, cik tā ir salauzta. Bet tas nedrošs pārlūka spraudnis ir iespējots pēc noklusējuma katrā Java instalācijā, kas tur atrodas. Statistika par sevi runā. Pat šeit, izmantojot How-To Geek, 95 procentiem no mūsu mobilajiem lietotājiem ir iespējots Java spraudnis. Un mēs esam vietne, kas liek mūsu lasītājiem atinstalēt Java vai vismaz atspējot spraudni.

Internetā pētījumi turpina rādīt, ka lielākajai daļai dators ar instalētu Java ir novecojis Java pārlūkprogrammas spraudnis, kas pieejams ļaunprātīgām tīmekļa vietnēm. 2013. gadā Websense Security Labs pētījums parādīja, ka 80 procentiem datoru bija novecojušas, neaizsargātas Java versijas. Pat visvairāk labdarības pētījumi ir biedējoši - viņi parasti apgalvo, ka vairāk nekā 50 procenti Java spraudņu ir novecojuši.

2014. gadā Cisco ikgadējais drošības ziņojums norādīja, ka 91% no visiem uzbrukumiem 2013. gadā bija pret Java. Oracle pat mēģina izmantot šo problēmu, apvienojot briesmīgo rīkjoslu un citu junkprogrammu ar Java atjauninājumiem - palikt stilīgs, Oracle.

Oracle Gave Up uz Java spraudņu Sandboxing

Java spraudnis Web programmā ievada Java programmu vai "Java apletu", kas ir līdzīga Adobe Flash darbībai. Tā kā Java ir sarežģīta valoda, ko izmanto visam, sākot no darbvirsmas lietojumprogrammām līdz servera programmatūrai, sākotnējais spraudnis bija paredzēts, lai palaistu šīs Java programmas drošā sandbox. Tas neļautu viņiem veikt nejaukas lietas jūsu sistēmai, pat ja viņi to izmēģinātu.

Tā ir šī teorija. Praksē pastāv šķietami nebeidzama neaizsargātības plūsma, kas ļauj Java lietojumprogrammām izbēgt no smilškastes un palaist roughshod pār jūsu sistēmu.

Oracle saprot, ka smilškastes pašlaik ir bojāta, tāpēc smilšu kaste tagad būtībā ir mirusi. Viņi to atteica. Pēc noklusējuma Java vairs nedarbos neparakstītas appletus. Neparakstītu apletu darbībai nevajadzētu būt problēmai, ja drošības sdroši būtu uzticama, tāpēc parasti nav problēmu, lai darbinātu jebkuru tīmeklī atrodamo Adobe Flash saturu. Pat ja Flash ir neaizsargātības, tie ir fiksēti un Adobe neatsakās no Flash smilškastēm.

Pēc noklusējuma Java ielādēs tikai parakstītas aples. Tas izklausās labi, tāpat kā labs drošības uzlabojums. Tomēr šeit ir nopietnas sekas. Kad Java aplets ir parakstīts, tas tiek uzskatīts par "uzticamu", un tajā nav izmantota smilškastes. Kā parādās Java brīdinājuma ziņojumā:

"Šī lietojumprogramma darbosies ar neierobežotu piekļuvi, kas var apdraudēt jūsu datoru un personisko informāciju."

Pat Oracle paša Java versijas pārbaudīšanas programma - vienkārša mazā aplete, kurā darbojas Java, lai pārbaudītu jūsu instalēto versiju un paskaidrotu, vai jums ir nepieciešams atjaunināt - nepieciešama šī pilna sistēmas piekļuve. Tas ir pilnīgi neprātīgs.

Citiem vārdiem sakot, Java patiešām ir atteikusies no smilškastes. Pēc noklusējuma varat vai nu palaist Java programmu vai palaist to ar pilnu piekļuvi jūsu sistēmai. Nav iespējams izmantot smilškastes, ja vien jūs nedzerat Java drošības iestatījumus. Sandbox ir tik nedrošs, ka katram Java kodam, ar kuru saskaras tiešsaistē, ir vajadzīga pilna piekļuve jūsu sistēmai. Varat arī vienkārši lejupielādēt Java programmu un palaist to, nevis atsaukties uz pārlūkprogrammas spraudni, kas nepiedāvā papildu drošību, kuru tā sākotnēji bija paredzēta.

Kā viens Java izstrādātājs paskaidroja: "Oracle ir apzināti nogalināt pie Java drošības sandbox zem pretenzijas, lai uzlabotu drošību."

Tīmekļa pārlūkprogrammas to atspējo

Par laimi, tīmekļa pārlūkprogrammās tiek uzlabota Oracle darbības bezdarbība. Pat ja jums ir instalēta un iespējota Java pārlūkprogrammas spraudnis, Chrome un Firefox pēc noklusējuma neielādēt Java saturu. Viņi izmanto "noklikšķini, lai atskaņotu" Java saturam.

Internet Explorer joprojām automātiski ielādē Java saturu. Internet Explorer ir nedaudz uzlabojies - tas beidzot sāka bloķēt novecojušās, neaizsargātās ActiveX vadīklas kopā ar "Windows 8.1 augusta atjauninājumu" (tāpat kā Windows 8.1 atjauninājumu 2) 2014. gada augustā. Chrome un Firefox to ir darījušas daudz ilgāk . Internet Explorer atrodas aiz pārējiem pārlūkiem šeit - atkal.

Kā atspējot Java spraudni

Ikvienam, kam ir instalēta Java, vismaz vajadzētu atspējot spraudni no java vadības paneļa. Izmantojot jaunākās Java versijas, varat vienu reizi piesitiet Windows taustiņam, lai atvērtu izvēlni Sākt vai Sākt ekrānu, ierakstiet "Java" un pēc tam noklikšķiniet uz saīsnes "Konfigurēt Java". Cilnē Drošība noņemiet atzīmi no opcijas "Iespējot Java saturu pārlūkprogrammā".

Pat pēc tam, kad atspējojat spraudni, Minecraft un jebkurš cits darbvirsmas lietojumprogramma, kas ir atkarīga no Java, darbosies tikai labi. Tas bloķēs tikai tīmekļa lapās iegultās Java programmas.

Jā, Java paletes joprojām pastāv savvaļā. Iespējams, ka tos visbiežāk atrodat iekšējās vietnēs, kurās kādam uzņēmumam ir sena programma, kas rakstīta kā Java sīklietotne. Taču Java sīklietotnes ir mirušas tehnoloģijas, un tās izzūd no patērētāju tīkla. Viņi bija sacensties ar Flash, bet viņi zaudēja.Pat ja jums ir Java, iespējams, nav nepieciešams spraudnis.

Reizēm uzņēmumam vai lietotājam, kuram nepieciešams Java pārlūkprogrammas spraudnis, vajadzētu iet uz Java vadības paneli un izvēlēties to iespējot. Plug-in ir jāuzskata par mantoto saderības iespēju.