Домашняя » как » Oracle не может защитить подключаемый модуль Java, так почему он по-прежнему включен по умолчанию?

    Oracle не может защитить подключаемый модуль Java, так почему он по-прежнему включен по умолчанию?

    Java была ответственна за 91 процент всех компьютерных компромиссов в 2013 году. У большинства людей не только включен подключаемый модуль браузера Java - они используют устаревшую уязвимую версию. Эй, Oracle - пришло время отключить этот плагин по умолчанию.

    Oracle знает, что ситуация катастрофическая. Они отказались от изолированной программной среды безопасности плагина Java, изначально разработанной для защиты вас от вредоносных апплетов Java. Java-апплеты в Интернете получают полный доступ к вашей системе с настройками по умолчанию.

    Плагин Java Browser - полная катастрофа

    Защитники Java, как правило, жалуются, когда такие сайты, как наш, пишут, что Java крайне небезопасна. «Это просто плагин для браузера», - говорят они, признавая, насколько он сломан. Но этот небезопасный плагин для браузера включен по умолчанию в каждой отдельной установке Java. Статистика говорит сама за себя. Даже здесь, в How-To Geek, 95 процентов наших немобильных посетителей имеют подключаемый модуль Java. И мы - веб-сайт, который постоянно просит наших читателей удалить Java или, по крайней мере, отключить плагин..

    Исследования в Интернете показывают, что большинство компьютеров с установленной Java имеют устаревший плагин для браузера Java, доступный для вредоносных веб-сайтов. В 2013 году исследование Websense Security Labs показало, что 80 процентов компьютеров имеют устаревшие уязвимые версии Java. Даже самые благотворительные исследования страшны - они утверждают, что более 50 процентов подключаемых модулей Java устарели.

    В 2014 году в годовом отчете Cisco о безопасности говорилось, что 91% всех атак в 2013 году были направлены на Java. Oracle даже пытается воспользоваться этой проблемой, связывая ужасную панель инструментов Ask и другое нежелательное программное обеспечение с обновлениями Java - оставайтесь стильными, Oracle.

    Oracle отказался от песочницы Java-плагина

    Плагин Java запускает Java-программу или «Java-апплет», встроенный в веб-страницу, аналогично тому, как работает Adobe Flash. Поскольку Java является сложным языком, используемым для всего, от настольных приложений до серверного программного обеспечения, плагин изначально был разработан для запуска этих программ Java в защищенной изолированной программной среде. Это помешает им делать неприятные вещи с вашей системой, даже если они попробуют.

    Во всяком случае, это теория. На практике существует, казалось бы, бесконечный поток уязвимостей, которые позволяют Java-апплетам выходить из песочницы и работать в вашей системе..

    Oracle понимает, что песочница в основном сломана, поэтому песочница в основном мертва. Они отказались от этого. По умолчанию Java больше не будет запускать «неподписанные» апплеты. Запуск неподписанных апплетов не должен быть проблемой, если песочница безопасности заслуживает доверия - поэтому, как правило, нет проблем с запуском любого содержимого Adobe Flash, которое вы найдете в Интернете. Даже если во Flash есть уязвимости, они исправлены, и Adobe не отказывается от песочницы Flash.

    По умолчанию Java будет загружать только подписанные апплеты. Это звучит хорошо, как хорошее улучшение безопасности. Однако здесь есть серьезное последствие. Когда Java-апплет подписан, он считается «доверенным» и не использует «песочницу». Как сказано в предупреждающем сообщении Java:

    «Это приложение будет работать с неограниченным доступом, что может подвергнуть риску ваш компьютер и личную информацию».

    Даже собственный апплет проверки версии Java от Oracle - простой маленький апплет, который запускает Java для проверки установленной версии и сообщает вам, если вам нужно обновить - требует полного доступа к системе. Это совершенно безумно.

    Другими словами, Java действительно отказалась от песочницы. По умолчанию вы не можете запускать апплет Java или запускать его с полным доступом к вашей системе. Невозможно использовать песочницу, если вы не настроите параметры безопасности Java. Песочница настолько ненадежна, что каждый кусочек Java-кода, с которым вы сталкиваетесь в сети, требует полного доступа к вашей системе. Вы также можете просто загрузить Java-программу и запустить ее, а не полагаться на плагин для браузера, который не обеспечивает дополнительную безопасность, которую изначально был разработан для обеспечения.

    Как объяснил один из разработчиков Java: «Oracle намеренно убивает изолированную программную среду безопасности Java под предлогом повышения безопасности».

    Веб-браузеры отключают его самостоятельно

    К счастью, веб-браузеры вмешиваются, чтобы исправить бездействие Oracle. Даже если у вас установлен и включен подключаемый модуль браузера Java, Chrome и Firefox не будут загружать содержимое Java по умолчанию. Они используют «click-to-play» для содержимого Java.

    Internet Explorer по-прежнему автоматически загружает содержимое Java. Internet Explorer несколько улучшился - он наконец начал блокировать устаревшие уязвимые элементы ActiveX вместе с «Августским обновлением Windows 8.1» (также известное как Windows 8.1 Update 2) в августе 2014 года. Chrome и Firefox занимались этим гораздо дольше , Internet Explorer отстает от других браузеров здесь - снова.

    Как отключить плагин Java

    Каждый, кому нужна Java, должен по крайней мере отключить плагин из панели управления Java. В последних версиях Java вы можете нажать клавишу Windows один раз, чтобы открыть меню «Пуск» или экран «Пуск», ввести «Java», а затем нажать ярлык «Настроить Java». На вкладке «Безопасность» снимите флажок «Включить содержимое Java в браузере»..

    Даже после того, как вы отключите плагин, Minecraft и любое другое настольное приложение, которое зависит от Java, будет работать нормально. Это будет блокировать только Java-апплеты, встроенные в веб-страницы.


    Да, Java-апплеты все еще существуют в дикой природе. Вероятно, вы найдете их чаще всего на внутренних сайтах, где у какой-то компании есть древнее приложение, написанное как Java-апплет. Но Java-апплеты - мертвая технология, и они исчезают из потребительской сети. Они должны были конкурировать с Flash, но проиграли. Даже если вам нужна Java, вам, вероятно, не нужен плагин.

    Иногда компании или пользователю, которым нужен плагин для браузера Java, нужно зайти в панель управления Java и выбрать ее включение. Плагин должен считаться устаревшим вариантом совместимости..