Oracle nevar nodrošināt Java spraudni, tad kāpēc tas joprojām ir iespējots pēc noklusējuma?

Java 2013. gadā bija atbildīga par 91% no visiem kompromisiem datorā. Lielākā daļa cilvēku ne tikai ir iespējojuši Java pārlūkprogrammas spraudni - viņi izmanto novecojušu, neaizsargātu versiju. Hei, Oracle - ir pienācis laiks atspējot šo spraudni pēc noklusējuma.

Oracle zina, ka situācija ir katastrofa. Viņi ir atteikušies no Java spraudņa, kas sākotnēji izstrādāts, lai aizsargātu jūs no ļaunprātīgām Java sīklietotnēm. Java sīklietotnes tīmeklī nodrošina pilnīgu piekļuvi jūsu sistēmai ar noklusējuma iestatījumiem.

Java pārlūkprogrammas spraudnis ir pilnīga katastrofa

Java aizstāvji mēdz sūdzēties, kad vietnes, piemēram, mūsu, raksta, ka Java ir ārkārtīgi nedroša. "Tas ir tikai pārlūkprogrammas spraudnis," viņi saka - atzīstot, cik tas ir bojāts. Bet šis nedrošais pārlūka spraudnis pēc noklusējuma ir iespējots katrā Java instalācijā. Statistika runā paši par sevi. Pat šeit, vietnē How-To Geek, 95% no mūsu mobilajiem apmeklētājiem ir iespējots Java spraudnis. Un mēs esam tīmekļa vietne, kas pastāvīgi liek mūsu lasītājiem atinstalēt Java vai vismaz atspējot spraudni.

Pētījumi internetā liecina, ka lielākajai daļai datoru ar Java ir instalēts novecojis Java pārlūkprogrammas spraudnis, kas ir pieejams ļaunprātīgām vietnēm, lai tās varētu iznīcināt. 2013. gadā Websense Security Labs pētījums parādīja, ka 80% datoru bija novecojušas, neaizsargātas Java versijas. Pat labdarības pētījumi ir biedējoši - viņi mēdz apgalvot, ka vairāk nekā 50 procenti Java spraudņu ir novecojuši.

2014. gadā Cisco ikgadējais drošības ziņojums teica, ka 2013. gadā 91% no visiem uzbrukumiem bija pret Java. Oracle pat mēģina izmantot šo problēmu, sasaistot briesmīgo Ask Toolbar un citus junkware ar Java atjauninājumiem - palieciet klasiski, Oracle.

Oracle Gave Up par Java Plug-in's Sandboxing

Java spraudnis vada Java programmu - vai “Java sīklietotne” - ievietota tīmekļa lapā, līdzīgi tam, kā darbojas Adobe Flash. Tā kā Java ir sarežģīta valoda, ko izmanto viss, sākot no darbvirsmas lietojumprogrammām līdz serveru programmatūrai, spraudnis sākotnēji bija paredzēts, lai palaistu šīs Java programmas drošā smilšu kastē. Tas neļautu viņiem strādāt ar šķebinošām lietām, pat ja tās mēģinātu.

Tas ir teorija. Praksē ir šķietami nebeidzams ievainojamības plūsma, kas ļauj Java sīklietotnēm izvairīties no smilšu kastes un palaist neapstrādātu sistēmu jūsu sistēmā.

Oracle saprot, ka smilšu kaste tagad ir būtiski bojāta, tāpēc smilšu kaste tagad ir gandrīz mirusi. Viņi to atteicās. Pēc noklusējuma Java vairs nedarbosies “neparakstītās” sīklietotnes. Ja drošības smilšu kaste ir uzticama, nevajadzētu būt neparakstītu sīklietotņu palaišanai, tāpēc parasti nav neviena problēma, lai palaistu jebkuru tīmekļa vietnē atrasto Adobe Flash saturu. Pat ja Flash ir neaizsargātība, tie tiek fiksēti, un Adobe neatteiksies no Flash smilškastes.

Pēc noklusējuma Java ielādēs tikai parakstītās sīklietotnes. Tas izklausās labi, tāpat kā labs drošības uzlabojums. Tomēr šeit ir nopietnas sekas. Kad tiek parakstīta Java sīklietotne, tā tiek uzskatīta par “uzticamu” un tā neizmanto smilšu kasti. Tā kā Java brīdinājuma ziņojums to liek:

“Šī programma darbosies ar neierobežotu piekļuvi, kas var apdraudēt jūsu datoru un personisko informāciju.”

Pat Oracle paša Java versijas pārbaude ir vienkārša mazā sīklietotne, kas vada Java, lai pārbaudītu instalēto versiju, un stāsta jums, vai jums ir nepieciešams atjaunināt - nepieciešama šī pilnīgā sistēmas piekļuve. Tas ir pilnīgi ārprātīgs.

Citiem vārdiem sakot, Java tiešām ir atteikusies uz smilšu kasti. Pēc noklusējuma jūs varat vai nu palaist Java sīklietotni, vai arī palaist to ar pilnu piekļuvi jūsu sistēmai. Nav iespējams izmantot smilšu kasti, ja vien jūs nekļūsit par Java drošības iestatījumiem. Smilšu kaste ir tik neuzticama, ka ikvienam Java koda bitam, ar kuru sastopaties tiešsaistē, ir nepieciešama pilnīga piekļuve jūsu sistēmai. Varat arī lejupielādēt Java programmu un palaist to, nevis paļauties uz pārlūkprogrammas spraudni, kas nepiedāvā papildu drošību, kas sākotnēji bija paredzēta, lai nodrošinātu.

Kā viens Java izstrādātājs paskaidroja: „Oracle apzināti nogalina Java drošības smilšu kasti ar pretenziju par drošības uzlabošanu.”

Tīmekļa pārlūkprogrammas to atspējo

Par laimi, tīmekļa pārlūkprogrammas tiek pastiprinātas, lai noteiktu Oracle bezdarbību. Pat ja jums ir instalēta un iespējota Java pārlūka spraudnis, Chrome un Firefox pēc noklusējuma neielādēs Java saturu. Viņi izmanto „noklikšķināt, lai atskaņotu” Java saturam.

Internet Explorer joprojām automātiski ielādē Java saturu. Internet Explorer ir nedaudz uzlabojusies - beidzot tā 2014. gada augustā sāka bloķēt novecojušās, neaizsargātās ActiveX vadīklas kopā ar „Windows 8.1 August Update” (pazīstams arī kā Windows 8.1 atjaunināšana 2). . Internet Explorer atpaliek no citām pārlūkprogrammām šeit - atkal.

Kā atspējot Java spraudni

Visiem, kam ir instalēta Java, vismaz jāizslēdz spraudnis no Java vadības paneļa. Izmantojot jaunākās Java versijas, vienu reizi varat pieskarties Windows taustiņam, lai atvērtu izvēlni Sākt vai sākuma ekrānu, ierakstiet “Java” un pēc tam noklikšķiniet uz saīsnes “Konfigurēt Java”. Cilnē Drošība noņemiet atzīmi no opcijas „Iespējot Java saturu pārlūkā”.

Pat pēc tam, kad deaktivizējat spraudni, Minecraft un jebkura cita darbvirsmas lietojumprogramma, kas ir atkarīga no Java, darbosies tikai labi. Tas bloķēs tikai tīmekļa lapās ievietotās Java sīklietotnes.

Jā, savvaļā joprojām pastāv Java sīklietotnes. Jūs, iespējams, atradīsiet tos visbiežāk iekšējās vietnēs, kur dažiem uzņēmumiem ir senā lietojumprogramma, kas rakstīta kā Java sīklietotne. Bet Java sīklietotnes ir miris, un tās pazūd no patērētāju tīmekļa. Viņiem bija jākonkurē ar Flash, bet viņi zaudēja. Pat ja jums ir nepieciešama Java, jums, iespējams, nav nepieciešams spraudnis.

Gadījuma uzņēmumam vai lietotājam, kuram ir nepieciešams Java pārlūkprogrammas spraudnis, vajadzētu iet uz Java vadības paneli un izvēlēties to iespējot. Spraudnis ir uzskatāms par mantotu saderības iespēju.