Начална » как да » Oracle не може да осигури Java Plug-in, така че защо все още е по подразбиране?

    Oracle не може да осигури Java Plug-in, така че защо все още е по подразбиране?

    Java е отговорен за 91% от всички компютърни компромиси през 2013 г. Повечето хора не само имат възможност за включване на plug-in за браузъра на Java - те използват остаряла, уязвима версия. Ей, Oracle - време е да деактивираш този плъгин по подразбиране.

    Oracle знае, че ситуацията е катастрофа. Те са се отказали от защитната пясък на Java plug-in, първоначално създадена да ви предпази от зловредни Java аплети. Java аплетите в мрежата получават пълен достъп до вашата система с настройките по подразбиране.

    Приставката за браузъри на Java е пълна катастрофа

    Защитниците на Java са склонни да се оплакват, когато сайтове като нашия пишат, че Java е изключително несигурна. "Това е само плъгинът за браузъра", казват те - признавайки колко е счупен. Но този несигурен браузър е включен по подразбиране при всяка инсталация на Java там. Статистиката говори за себе си. Дори тук в How-To Geek, 95% от нашите немобилни посетители имат включен Java plug-in. Ние сме уебсайт, който непрекъснато казва на нашите читатели да деинсталират Java или поне да деактивират плъгина.

    В интернет проучванията продължават да показват, че повечето компютри с инсталирана Java имат остарял плъгин за браузъри на Java, достъпен за злонамерени уебсайтове. През 2013 г. проучване на Websense Security Labs показа, че 80% от компютрите са с остарели и уязвими версии на Java. Дори най-благотворителните проучвания са страшни - те твърдят, че повече от 50% от плъгините на Java са остарели.

    През 2014 г. годишният доклад на Сиско за сигурността посочи, че 91% от всички атаки през 2013 г. са срещу Java. Oracle дори се опитва да се възползва от този проблем, обвързвайки ужасната Ask Toolbar и други junkware с актуализации на Java - остават класни, Oracle.

    Oracle отстъпи на Sandboxing на Java Plug-in

    Java плъгинът изпълнява Java програма - или “Java аплет” - вградена в уеб страница, подобно на начина, по който работи Adobe Flash. Тъй като Java е сложен език, използван за всичко - от приложения за настолни компютри до сървърен софтуер, плъгинът първоначално е бил проектиран да изпълнява тези Java програми в сигурна пясъчна среда. Това би им попречило да правят лоши неща на вашата система, дори и да са се опитали.

    Това е теорията. На практика има привидно безкраен поток от уязвимости, които позволяват на аплетите на Java да избягат от пясъчника и да изпълнят груба процедура за вашата система.

    Oracle осъзнава, че пясъчникът в момента е основно счупен, така че пясъчникът вече е мъртъв. Те са се отказали от това. По подразбиране Java вече няма да изпълнява "неподписани" аплети. Изпълнението на неподписани аплети не би трябвало да е проблем, ако защитната пясък е надеждна. Ето защо по принцип не е проблем да използвате съдържанието на Adobe Flash, което намирате в мрежата. Дори и да има уязвими места във Flash, те са фиксирани и Adobe не се отказва от презареждането на Flash.

    По подразбиране Java ще зарежда само подписани аплети. Това звучи добре, като добро подобрение на сигурността. Тук обаче има сериозна последица. Когато Java аплет е подписан, той се смята за "доверен" и не използва пясъчника. Както предупредителното съобщение на Java поставя:

    „Това приложение ще работи с неограничен достъп, което може да изложи на риск компютъра ви и личната ви информация.“

    Дори и собствения Java аплет за проверка на версията на Oracle - прост малък аплет, който изпълнява Java, за да провери инсталираната ви версия и ви каже дали трябва да актуализирате - изисква този пълен системен достъп. Това е напълно лудост.

    С други думи, Java наистина се е отказала от пясъчника. По подразбиране можете да не стартирате Java аплет или да го стартирате с пълен достъп до вашата система. Няма начин да използвате пясъчника, освен ако не промените настройките за сигурност на Java. В пясъчника е толкова неблагонадеждни, че всеки малко Java код, който срещате онлайн се нуждае от пълен достъп до вашата система. Можете също така да изтеглите програма Java и да я стартирате, вместо да разчитате на приставката на браузъра, която не предлага допълнителна сигурност, която първоначално е била предназначена да осигурява.

    Както обясни един разработчик на Java: "Oracle умишлено убива защитната пяна на Java под претекст, че подобрява сигурността."

    Уеб браузърите го забраняват сами

    За щастие уеб браузърите се намесват, за да поправят бездействието на Oracle. Дори ако имате инсталиран и активиран приставката за Java браузър, Chrome и Firefox не зареждат съдържанието на Java по подразбиране. Те използват “click-to-play” за съдържание на Java.

    Internet Explorer все още автоматично зарежда съдържанието на Java. Internet Explorer се подобри до известна степен - най-накрая започна да блокира остарели, уязвими ActiveX контроли заедно с "Windows 8.1 August Update" (известен още като Windows 8.1 Update 2) през август 2014. Chrome и Firefox правят това много по-дълго , Internet Explorer стои зад други браузъри тук - отново.

    Как да деактивирате Java Plug-in

    Всеки, който се нуждае от инсталирана Java, трябва поне да деактивира приставката от контролния панел на java. С последните версии на Java можете да докоснете клавиша Windows веднъж, за да отворите менюто "Старт" или началния екран, напишете "Java" и след това щракнете върху "Конфигуриране на Java" пряк път. В раздела Защита махнете отметката от опцията „Активиране на съдържанието на Java в браузъра“.

    Дори и след като изключите плъгина, Minecraft и всяко друго десктоп приложение, което зависи от Java ще работи добре. Това ще блокира само аплетите на Java, вградени в уеб страниците.


    Да, Java аплетите все още съществуват в дивата природа. Вероятно ще ги намерите най-често на вътрешни сайтове, където някои компании имат древно приложение, написано като Java аплет. Но аплетите на Java са мъртва технология и те изчезват от потребителската мрежа. Те трябваше да се конкурират с Flash, но те загубиха. Дори ако имате нужда от Java, вероятно нямате нужда от приставката.

    Случайната компания или потребител, който се нуждае от приставката за Java браузър, трябва да отиде в контролния панел на Java и да избере да го активира. Плъгинът трябва да се счита за остаряла опция за съвместимост.