sv.phhsnews.com


sv.phhsnews.com / Oracle kan inte säkra Java-plugin-modulen, så varför är den fortfarande aktiverad som standard?

Oracle kan inte säkra Java-plugin-modulen, så varför är den fortfarande aktiverad som standard?


Java svarade för 91 procent av alla datorkompromisser 2013. De flesta har inte bara Java-pluginprogrammet aktiverat - de använder en utdaterad, sårbar version. Hej, Oracle - det är dags att inaktivera plugin-programmet som standard.

Oracle vet att situationen är en katastrof. De har gett upp på säkerhetspluggen för Java-plugin, ursprungligen utformad för att skydda dig mot skadliga Java-appletter. Java-applets på webben får fullständig åtkomst till ditt system med standardinställningarna.

Plugin-programmet Java är en komplett katastrof

Försvarare av Java tenderar att klaga när platser som våra skriver att Java är extremt osäkert. "Det är bara webbläsarens plugin," säger de - erkänner hur trasigt det är. Men den osäkra webbläsareinställningen är som standard aktiverad i varje enskild installation av Java där ute. Statistiken talar för sig själva. Även här på How-To Geek har 95 procent av våra icke-mobila besökare aktiverat Java-plugin-programmet. Och vi är en webbplats som fortsätter att berätta för våra läsare att avinstallera Java eller åtminstone inaktivera plugin-programmet.

Över hela världen visar studierna att de flesta datorer med Java installerat har en gammal Java-webbläsare plug-in tillgänglig för skadliga webbplatser att ravage. År 2013 visade en undersökning av Websense Security Labs att 80 procent av datorerna hade out-of-date, sårbara versioner av Java. Även de mest välgörande studierna är skrämmande - de brukar hävda att mer än 50 procent av Java-plugin-program är out-of-date.

I 2014 uppgav Ciscos årliga säkerhetsrapport att 91 procent av alla attacker i 2013 var mot Java. Oracle försöker till och med att dra nytta av detta problem genom att kombinera den hemska Ask Toolbar och annan skräppost med Java-uppdateringar. Var snygg, Oracle.

Oracle gavs upp på Java Plug-in Sandboxing

Java-plugin-programmet körs en Java-program - eller "Java-applet" - inbäddad på en webbsida, liknar hur Adobe Flash fungerar. Eftersom Java är ett komplext språk som används för allt från stationära applikationer till serverns programvara, var pluginprogrammet ursprungligen utformat för att köra dessa Java-program i en säker sandlåda. Detta skulle förhindra att de gör otäcka saker i ditt system, även om de försökte.

Det är alltså teorin. I praktiken finns det en till synes oändlig ström av sårbarheter som tillåter Java-applet att fly från sandlådan och springa runt hårddisken över ditt system.

Oracle inser att sandkassen är i grunden bruten, så sandkassen är nu i stort sett död. De har gett upp det. Som standard kommer Java inte längre att köra "osignerade" appletter. Körning av osignerade applets bör inte vara ett problem om säkerhetssandboxen var trovärdig - det är därför det generellt inte är något problem att köra allt Adobe Flash-innehåll som du hittar på webben. Även om det finns sårbarheter i Flash, är de korrekta och Adobe ger inte upp Flash-sandboxning.

Som standard laddar Java endast signerade appletter. Det låter bra, som en bra säkerhetsförbättring. Det finns dock en allvarlig konsekvens här. När en Java-applet är signerad anses den vara "betrodd" och den använder inte sandlådan. Som Java: s varningsmeddelande säger det:

"Den här applikationen kommer att köras med obegränsad åtkomst, vilket kan äventyra din dator och personuppgifter."

Även Oracles egen Java-versionskontrollapplet - en enkel liten applet som kör Java för att kontrollera din installerade version och berättar om du behöver uppdatera - kräver denna fullständiga systemåtkomst. Det är helt vansinnigt.

Med andra ord har Java verkligen gett upp på sandlådan. Som standard kan du heller inte köra en Java-applet eller köra den med fullständig åtkomst till ditt system. Det finns inget sätt att använda sandlådan om du inte justerar Java-säkerhetsinställningarna. Sandboxen är så otroligt att varje bit av Java-kod du stöter på online behöver full tillgång till ditt system. Du kan lika bra bara ladda ner ett Java-program och köra det istället för att förlita dig på plug-inen för webbläsaren, som inte erbjuder den extra säkerhet som den ursprungligen var avsedd att tillhandahålla.

Som en Java-utvecklare förklarade: "Oracle avsiktligt avlivar Java-säkerhetssandboxen med förhoppning om att förbättra säkerheten."

Webbläsare inaktiverar det på egen hand

Tack och lov går webbläsare in för att åtgärda Oracles inaktivitet. Även om du har Java-pluginprogrammet installerat och aktiverat, kommer Chrome och Firefox inte att ladda Java-innehåll som standard. De använder "klicka för att spela" för Java-innehåll.

Internet Explorer laddar fortfarande automatiskt Java-innehåll. Internet Explorer har förbättrats något - det började äntligen blockera out-of-date, sårbara ActiveX-kontroller tillsammans med "Windows 8.1 August Update" (även Windows 8.1 Update 2) i augusti 2014. Chrome och Firefox har gjort det här mycket längre . Internet Explorer ligger bakom andra webbläsare här - igen.

Så här inaktiverar du Java-plugin-programmet

Alla som behöver Java installerade borde åtminstone inaktivera plugin-programmet från java Kontrollpanelen. Med de senaste versionerna av Java kan du trycka på Windows-tangenten en gång för att öppna Start-menyn eller Start-skärmen, skriv "Java" och klicka sedan på "Konfigurera Java" -genvägen. På fliken Säkerhet, avmarkera alternativet "Aktivera Java-innehåll i webbläsaren".

Även efter att du inaktiverat plugin-programmet, kommer Minecraft och annat skrivbordsprogram som beror på Java att köras helt bra. Detta kommer bara att blockera Java-appletter inbäddade på webbsidor.


Ja, Java-applet finns fortfarande i det vilda. Du hittar dem troligtvis oftast på interna webbplatser där ett företag har en gammal applikation som skrivs som en Java-applet. Men Java-appletter är en död teknik och de försvinner från konsumentwebben. De skulle konkurrera med Flash, men de förlorade. Även om du behöver Java behöver du förmodligen inte plugin-programmet.

Det tillfälliga företaget eller användaren som behöver Java-pluginprogrammet måste gå till Java: s kontrollpanel och välja att aktivera det. Plugin-programmet bör betraktas som ett äldre kompatibilitetsalternativ.


Hur man låser upp din mobiltelefon (så att du kan ta med den till en ny bärare)

Hur man låser upp din mobiltelefon (så att du kan ta med den till en ny bärare)

De flesta mobiltelefoner som säljs i Nordamerika - särskilt på kontrakt - är "låsta" till en viss mobilbärare . Du kan bara använda dem på den operatörens nätverk, så du kan inte byta till en annan operatör utan att först låsa upp telefonen. RELATERAD: Vad är skillnaden mellan jailbreaking, rooting och unlocking?

(how-to)

Varför har min Windows 10 Home Edition Remote Desktop och BitLocker?

Varför har min Windows 10 Home Edition Remote Desktop och BitLocker?

Det är ingen hemlighet att hemversionerna av Windows-system har haft vissa funktioner trimmade eller gjort otillgängliga utan uppgradering, så varför skulle en person se funktioner som förmodligen inte ingår? Dagens SuperUser Q & A-inlägg har svaret på en förvirrad läsares fråga. Dagens Frågor och svar-session kommer till vår del med SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.

(how-to)