Oracle знае, че ситуацията е бедствие. Те са се отказали от псевдонима за сигурност на приставката на Java, първоначално предназначен да ви предпази от злонамерени Java аплети. Java аплетите в мрежата получават пълен достъп до вашата система с настройките по подразбиране.
Приставката за Java браузър е пълно бедствие
Защитниците на Java са склонни да се оплакват, когато сайтове като нашата пишат, че Java е изключително несигурна. "Това е само приставката за браузър", казват те - признавайки колко е разбита. Но този несигурен браузър е включен по подразбиране във всяка отделна инсталация на Java там. Статистиката говори сама за себе си. Дори и тук в "Как да" Geek, 95% от нашите не-мобилни посетители имат включен Java plug-in. И ние сме уеб сайт, който продължава да казва на нашите читатели да деинсталират Java или поне да деактивират приставката.
Изследванията в интернет продължават да показват, че по-голямата част от компютрите с инсталиран Java разполагат с изчерпаем приставка за Java браузър, достъпен за зловреден уебсайт, за да опустоши. През 2013 г. проучване на Websense Security Labs показа, че 80% от компютрите са с изчерпаеми, уязвими версии на Java. Дори най-благоприятните проучвания са страшни - те са склонни да твърдят, че повече от 50% от приставките за Java са остарели.
През 2014 г. годишният доклад за сигурността на Cisco заяви, че 91% от всички атаки през 2013 г. са били срещу Java. Oracle дори се опитва да се възползва от този проблем чрез обединяване на ужасната Ask Toolbar и други джунджууер с актуализации на Java - останете неразделни, Oracle.
Oracle Gave Up на Sandboxing на Java Plug-in
Приставката за Java изпълнява Java програма - или "Java аплет" - вградена в уеб страница, подобна на работата на Adobe Flash. Тъй като Java е сложен език, който се използва за всичко, от настолни приложения до сървърни програми, plug-in първоначално е проектиран да изпълнява тези Java програми в защитен пясък. Това ще им попречи да правят неприятни неща за вашата система, дори ако са се опитали.
Това е теорията, така или иначе. На практика има привидно безкраен поток от уязвимости, които позволяват на Java аплети да избягат от пясъчната кутия и да работят грубо върху вашата система.
Оракул осъзнава, че пясъчната кутия сега е основно нарушена, така че пясъчната кутия сега е основно мъртва. Те са се отказали от това. По подразбиране Java повече няма да изпълнява "неподписани" аплети. Изпълнението на неподписани аплети не би трябвало да е проблем, ако защитната пясъчна кутия е надеждна - затова обикновено не е проблем да пускате съдържанието на Adobe Flash, което намирате в мрежата. Дори и да има уязвимости в Flash, те са фиксирани и Adobe не се отказва от Sandbox на Flash.
“This application will run with unrestricted access which may put your computer and personal information at risk.”
Дори и собствената версия на Java на Oracle за проверка на аплета - прост малък аплет, който работи с Java, за да провери инсталираната ви версия и ви казва дали трябва да актуализирате - изисква пълен достъп до системата. Това е напълно луд.
Както един разработчик на Java обясни: "Оракул умишлено убива Java шахтата за сигурност под претекст за подобряване на сигурността."
Уеб браузърите го деактивират сами
За щастие, уеб браузърите се намесват, за да отстранят бездействието на Oracle. Дори ако имате инсталиран и активиран приставката за браузър Java, Chrome и Firefox няма да заредят Java съдържание по подразбиране. Те използват "кликване за пускане" за съдържание в Java.
Internet Explorer все още автоматично зарежда съдържание в Java. Internet Explorer се е подобрил малко - най-накрая започна да блокира остарелите уязвими контроли на ActiveX заедно с "Windows 8.1 август актуализация" (известен още като Windows 8.1 Update 2) през август 2014 г. Chrome и Firefox правят това много по-дълго, Internet Explorer е зад други браузъри тук - отново.
Как да деактивирате Java Plug-in
Всеки, който има инсталиран Java, трябва най-малко да деактивира приставката от контролния панел на Java. С последните версии на Java можете да докоснете клавиша Windows веднъж, за да отворите менюто "Старт" или "Начален екран", въведете "Java" и след това да кликнете върху пряк път "Конфигуриране на Java". В раздела "Сигурност" премахнете отметката от опцията "Активиране на съдържанието на Java в браузъра".
Дори и след като изключите плъгина, Minecraft и всяко друго приложение за настолни компютри, което зависи от Java, ще работи добре. Това ще блокира само Java аплети, вградени в уеб страници.
Да, Java аплети все още съществуват в дивата природа. Вероятно ще ги намерите най-често на вътрешни сайтове, където някои компании имат древна заявка, написана като Java аплет. Но Java аплетите са мъртва технология и те изчезват от потребителската мрежа. Те трябваше да се конкурират със Flash, но загубиха. Дори ако имате нужда от Java, вероятно нямате нужда от приставката.
Приемствената фирма или потребител, които се нуждаят от приставката за Java браузър, трябва да отидат в контролния панел на Java и да изберат да я активират. Приставката трябва да се разглежда като опция за съвместимост.
