Hemsida » hur » Oracle kan inte säkra Java Plug-in, så varför är det fortfarande aktiverat som standard?

    Oracle kan inte säkra Java Plug-in, så varför är det fortfarande aktiverat som standard?

    Java var ansvarig för 91 procent av alla datorkompromisser 2013. De flesta använder inte bara Java-pluginprogrammet - de använder en utdaterad, sårbar version. Hej, Oracle - det är dags att avaktivera plugin-programmet som standard.

    Oracle vet att situationen är en katastrof. De har gett upp på säkerhetspluggen för Java-plugin, ursprungligen utformad för att skydda dig från skadliga Java-appletter. Java-appletter på webben får fullständig åtkomst till ditt system med standardinställningarna.

    Plugin-programmet Java Browser är en komplett katastrof

    Försvarare av Java tenderar att klaga när webbplatser som våra skriver att Java är extremt osäkert. "Det är bara webbläsarens plugin," säger de - erkänner hur trasigt det är. Men den osäkra webbläsareinställningen är som standard aktiverad i varje enskild installation av Java där ute. Statistiken talar för sig själva. Även här på How-To Geek har 95 procent av våra icke-mobila besökare aktiverat Java-plugin. Och vi är en webbplats som fortsätter att berätta för våra läsare att avinstallera Java eller åtminstone inaktivera plugin-programmet.

    Studier på Internet visar hela tiden att majoriteten av datorer med Java installerat har en gammal Java-plug-in tillgänglig för skadliga webbplatser att rasa. År 2013 visade en undersökning av Websense Security Labs att 80 procent av datorerna hade out-of-date, sårbara versioner av Java. Även de mest välgörande studierna är skrämmande - de brukar hävda att mer än 50 procent av Java-plugin-programmen är out-of-date.

    I 2014 uppgav Ciscos årliga säkerhetsrapport att 91 procent av alla attacker år 2013 var emot Java. Oracle försöker till och med att utnyttja detta problem genom att kombinera den fruktansvärda Ask Toolbar och annan junkware med Java-uppdateringar. Var snygg, Oracle.

    Oracle gav upp på Java Plug-in Sandboxing

    Java-plugin-programmet kör ett Java-program - eller "Java-applet" - inbäddad på en webbsida, som hur Adobe Flash fungerar. Eftersom Java är ett komplext språk som används för allt från stationära program till serverns programvara, var pluginprogrammet ursprungligen utformat för att köra dessa Java-program i en säker sandlåda. Detta skulle förhindra att de gör otäcka saker i ditt system, även om de försökte.

    Det är alltså teorin. I praktiken finns det en till synes oändlig ström av sårbarheter som tillåter Java-applet att fly från sandlådan och springa runt hårddisken över ditt system.

    Oracle inser att sandlådan är i grunden brutet, så sandlådan är nu i princip död. De har gett upp det. Som standard kommer Java inte längre att köra "osignerade" appletter. Att driva osignerade applets ska inte vara ett problem om säkerhetssandboxen var trovärdig - det är därför det generellt inte är något problem att köra allt Adobe Flash-innehåll som du hittar på webben. Även om det finns sårbarheter i Flash, är de lätta och Adobe ger inte upp Flash-sandboxning.

    Som standard laddar Java endast signerade appletter. Det låter bra, som en bra säkerhetsförbättring. Det finns dock en allvarlig konsekvens här. När en Java-applet är signerad anses den vara "betrodd" och den använder inte sandlådan. Som Java: s varningsmeddelande säger det:

    "Den här applikationen kommer att köras med obegränsat tillträde som kan äventyra din dator och personuppgifter."

    Även Oracles egen Java-versionskontrollapplet - en enkel liten applet som kör Java för att kontrollera din installerade version och berättar om du behöver uppdatera - kräver denna fullständiga systemåtkomst. Det är helt vansinnigt.

    Med andra ord har Java verkligen gett upp på sandlåten. Som standard kan du heller inte köra en Java-applet eller köra den med fullständig åtkomst till ditt system. Det finns inget sätt att använda sandlådan om du inte justerar Java-säkerhetsinställningarna. Sandlåten är så osäker att varje bit av Java-kod du möter online behöver full tillgång till ditt system. Du kan lika bra bara ladda ner ett Java-program och köra det istället för att förlita sig på plug-inprogrammet för webbläsare, vilket inte erbjuder den extra säkerhet det ursprungligen var utformat för att tillhandahålla.

    Som en Java-utvecklare förklarade: "Oracle avsiktligt dödar bort säkerhetssäkerhetssandboxen i Java under förutsägelse att förbättra säkerheten."

    Webbläsare Inaktiverar det på egen hand

    Lyckligtvis går webbläsare in för att fixa Oracles oförsiktighet. Även om du har Java-pluginprogrammet installerat och aktiverat, kommer Chrome och Firefox inte att ladda Java-innehåll som standard. De använder "klicka för att spela" för Java-innehåll.

    Internet Explorer laddar fortfarande automatiskt Java-innehåll. Internet Explorer har förbättrats något - det började äntligen blockera out-of-date, sårbara ActiveX-kontroller tillsammans med Windows 8.1 August Update (aka Windows 8.1 Update 2) i augusti 2014. Chrome och Firefox har gjort det här mycket längre . Internet Explorer ligger bakom andra webbläsare här - igen.

    Så här inaktiverar du Java Plug-in

    Alla som behöver Java installerat ska åtminstone inaktivera plugin-programmet från java Control Panel. Med de senaste versionerna av Java kan du trycka på Windows-tangenten en gång för att öppna Start-menyn eller Start-skärmen, skriv "Java" och klicka sedan på "Konfigurera Java" -genvägen. På fliken Säkerhet, avmarkera alternativet "Aktivera Java-innehåll i webbläsaren".

    Även efter att du inaktiverat plugin-programmet, kommer Minecraft och alla andra skrivbordsprogram som beror på Java att gå bra. Detta blockerar bara Java-appletter inbäddade på webbsidor.


    Ja, Java-applets finns fortfarande i det vilda. Du hittar dem troligtvis oftast på interna webbplatser där ett företag har en gammal applikation som skrivs som en Java-applet. Men Java-appletter är en död teknik och de försvinner från konsumentwebben. De skulle konkurrera med Flash, men de förlorade. Även om du behöver Java behöver du nog inte pluginprogrammet.

    Det tillfälliga företaget eller användaren som behöver Java-pluginprogrammet måste gå till Java: s kontrollpanel och välja att aktivera det. Plug-in bör betraktas som ett äldre kompatibilitetsalternativ.