sv.phhsnews.com


sv.phhsnews.com / Oracle kan inte säkra Java-plugin-modulen, så varför är den fortfarande aktiverad som standard?

Oracle kan inte säkra Java-plugin-modulen, så varför är den fortfarande aktiverad som standard?


Java svarade för 91 procent av alla datorkompromisser 2013. De flesta har inte bara Java-pluginprogrammet aktiverat - de använder en utdaterad, sårbar version. Hej, Oracle - det är dags att inaktivera plugin-programmet som standard.

Oracle vet att situationen är en katastrof. De har gett upp på säkerhetspluggen för Java-plugin, ursprungligen utformad för att skydda dig mot skadliga Java-appletter. Java-applets på webben får fullständig åtkomst till ditt system med standardinställningarna.

Plugin-programmet Java är en komplett katastrof

Försvarare av Java tenderar att klaga när platser som våra skriver att Java är extremt osäkert. "Det är bara webbläsarens plugin," säger de - erkänner hur trasigt det är. Men den osäkra webbläsareinställningen är som standard aktiverad i varje enskild installation av Java där ute. Statistiken talar för sig själva. Även här på How-To Geek har 95 procent av våra icke-mobila besökare aktiverat Java-plugin-programmet. Och vi är en webbplats som fortsätter att berätta för våra läsare att avinstallera Java eller åtminstone inaktivera plugin-programmet.

Över hela världen visar studierna att de flesta datorer med Java installerat har en gammal Java-webbläsare plug-in tillgänglig för skadliga webbplatser att ravage. År 2013 visade en undersökning av Websense Security Labs att 80 procent av datorerna hade out-of-date, sårbara versioner av Java. Även de mest välgörande studierna är skrämmande - de brukar hävda att mer än 50 procent av Java-plugin-program är out-of-date.

I 2014 uppgav Ciscos årliga säkerhetsrapport att 91 procent av alla attacker i 2013 var mot Java. Oracle försöker till och med att dra nytta av detta problem genom att kombinera den hemska Ask Toolbar och annan skräppost med Java-uppdateringar. Var snygg, Oracle.

Oracle gavs upp på Java Plug-in Sandboxing

Java-plugin-programmet körs en Java-program - eller "Java-applet" - inbäddad på en webbsida, liknar hur Adobe Flash fungerar. Eftersom Java är ett komplext språk som används för allt från stationära applikationer till serverns programvara, var pluginprogrammet ursprungligen utformat för att köra dessa Java-program i en säker sandlåda. Detta skulle förhindra att de gör otäcka saker i ditt system, även om de försökte.

Det är alltså teorin. I praktiken finns det en till synes oändlig ström av sårbarheter som tillåter Java-applet att fly från sandlådan och springa runt hårddisken över ditt system.

Oracle inser att sandkassen är i grunden bruten, så sandkassen är nu i stort sett död. De har gett upp det. Som standard kommer Java inte längre att köra "osignerade" appletter. Körning av osignerade applets bör inte vara ett problem om säkerhetssandboxen var trovärdig - det är därför det generellt inte är något problem att köra allt Adobe Flash-innehåll som du hittar på webben. Även om det finns sårbarheter i Flash, är de korrekta och Adobe ger inte upp Flash-sandboxning.

Som standard laddar Java endast signerade appletter. Det låter bra, som en bra säkerhetsförbättring. Det finns dock en allvarlig konsekvens här. När en Java-applet är signerad anses den vara "betrodd" och den använder inte sandlådan. Som Java: s varningsmeddelande säger det:

"Den här applikationen kommer att köras med obegränsad åtkomst, vilket kan äventyra din dator och personuppgifter."

Även Oracles egen Java-versionskontrollapplet - en enkel liten applet som kör Java för att kontrollera din installerade version och berättar om du behöver uppdatera - kräver denna fullständiga systemåtkomst. Det är helt vansinnigt.

Med andra ord har Java verkligen gett upp på sandlådan. Som standard kan du heller inte köra en Java-applet eller köra den med fullständig åtkomst till ditt system. Det finns inget sätt att använda sandlådan om du inte justerar Java-säkerhetsinställningarna. Sandboxen är så otroligt att varje bit av Java-kod du stöter på online behöver full tillgång till ditt system. Du kan lika bra bara ladda ner ett Java-program och köra det istället för att förlita dig på plug-inen för webbläsaren, som inte erbjuder den extra säkerhet som den ursprungligen var avsedd att tillhandahålla.

Som en Java-utvecklare förklarade: "Oracle avsiktligt avlivar Java-säkerhetssandboxen med förhoppning om att förbättra säkerheten."

Webbläsare inaktiverar det på egen hand

Tack och lov går webbläsare in för att åtgärda Oracles inaktivitet. Även om du har Java-pluginprogrammet installerat och aktiverat, kommer Chrome och Firefox inte att ladda Java-innehåll som standard. De använder "klicka för att spela" för Java-innehåll.

Internet Explorer laddar fortfarande automatiskt Java-innehåll. Internet Explorer har förbättrats något - det började äntligen blockera out-of-date, sårbara ActiveX-kontroller tillsammans med "Windows 8.1 August Update" (även Windows 8.1 Update 2) i augusti 2014. Chrome och Firefox har gjort det här mycket längre . Internet Explorer ligger bakom andra webbläsare här - igen.

Så här inaktiverar du Java-plugin-programmet

Alla som behöver Java installerade borde åtminstone inaktivera plugin-programmet från java Kontrollpanelen. Med de senaste versionerna av Java kan du trycka på Windows-tangenten en gång för att öppna Start-menyn eller Start-skärmen, skriv "Java" och klicka sedan på "Konfigurera Java" -genvägen. På fliken Säkerhet, avmarkera alternativet "Aktivera Java-innehåll i webbläsaren".

Även efter att du inaktiverat plugin-programmet, kommer Minecraft och annat skrivbordsprogram som beror på Java att köras helt bra. Detta kommer bara att blockera Java-appletter inbäddade på webbsidor.


Ja, Java-applet finns fortfarande i det vilda. Du hittar dem troligtvis oftast på interna webbplatser där ett företag har en gammal applikation som skrivs som en Java-applet. Men Java-appletter är en död teknik och de försvinner från konsumentwebben. De skulle konkurrera med Flash, men de förlorade. Även om du behöver Java behöver du förmodligen inte plugin-programmet.

Det tillfälliga företaget eller användaren som behöver Java-pluginprogrammet måste gå till Java: s kontrollpanel och välja att aktivera det. Plugin-programmet bör betraktas som ett äldre kompatibilitetsalternativ.


Så här kontrollerar du din hårddisk för fel

Så här kontrollerar du din hårddisk för fel

Tycker du att din hårddisk håller på att misslyckas? Kan du höra konstiga klickljud som kommer från din hårddisk? Har din dator varit slumpmässigt frysande och du är ganska säker på att du inte har något virus eller annat hårdvaruproblem? Det är definitivt inte kul att misstänka att hårddisken kanske misslyckas snart, men det händer hela tiden.Det bästa är at

(How-to)

Så här stoppar du YouTube från att spela upp nästa videoklipp på Chromecast.

Så här stoppar du YouTube från att spela upp nästa videoklipp på Chromecast.

När du använder Chromecast för YouTube-videor, är det en irriterande funktion där förslag på videon kontinuerligt köpas om du vill ha dem eller inte. Det här är nu att stänga av den här funktionen. Vad är överenskommelsen? RELATERad: YouTube gillar att automatiskt spela upp videor efter att ha spelat videor automatiskt på iOS, Android och på webben Din nuvarande video är över.

(how-to)