Oracle kan ikke sikre Java Plug-in, så hvorfor er det stadig aktiveret som standard?
Java var ansvarlig for 91 procent af alle computer kompromiser i 2013. De fleste mennesker har ikke bare Java-browser plug-in aktiveret - de bruger en utdateret, sårbar version. Hej, Oracle - det er på tide at deaktivere denne plugin som standard.
Oracle ved, at situationen er en katastrofe. De har givet op på Java-plugins sikkerhedssandkasse, der oprindeligt var designet til at beskytte dig mod ondsindede Java-applets. Java-applets på internettet får fuldstændig adgang til dit system med standardindstillingerne.
Java Browser Plug-in er en komplet katastrofe
Forsvarere af Java har tendens til at klage, når websteder som vores skriver, at Java er ekstremt usikkert. "Det er bare browser plug-in," siger de - anerkender, hvor brudt det er. Men den usikre browser plugin er som standard aktiveret i hver enkelt installation af Java derude. Statistikkerne taler for sig selv. Selv her på How-To Geek har 95 procent af vores ikke-mobile besøgende aktiveret Java-plug-in. Og vi er en hjemmeside, der fortæller vores læsere at afinstallere Java eller i det mindste deaktivere plugin'en.
På internettet viser undersøgelser fortsat, at størstedelen af computere med Java installeret har en forældet Java-browser plug-in til rådighed for ondsindede websteder at hærge. I 2013 viste en undersøgelse fra Websense Security Labs, at 80 procent af computere havde out-of-date, sårbare versioner af Java. Selv de mest velgørende studier er skræmmende - de har tendens til at hævde, at mere end 50 procent af Java-plug-ins er forældede.
I 2014 sagde Ciscos årlige sikkerhedsrapport, at 91 procent af alle angreb i 2013 var imod Java. Oracle forsøger endda at udnytte dette problem ved at kombinere den forfærdelige Ask Toolbar og anden junkware med Java-opdateringer - hold dig klassisk, Oracle.
Oracle gav op på Java Plug-in Sandboxing
Java-plugin'en kører et Java-program - eller "Java-applet" - integreret på en webside, ligner hvordan Adobe Flash fungerer. Da Java er et komplekst sprog, der bruges til alt fra desktopprogrammer til serverprogrammer, blev pluginprogrammet oprindeligt designet til at køre disse Java-programmer i en sikker sandkasse. Dette ville forhindre dem i at gøre grimme ting til dit system, selvom de forsøgte.
Det er alligevel teorien. I praksis er der en tilsyneladende uendelig strøm af sårbarheder, der gør det muligt for Java-applets at slippe ud af sandkassen og løbe rundt i systemet.
Oracle indser sandkassen er nu stort set brudt, så sandkassen er nu dybest set død. De har givet op på det. Som standard vil Java ikke længere køre "usignerede" applets. At køre usignerede applets bør ikke være et problem, hvis sikkerhedssandkassen var troværdig - derfor er det generelt ikke et problem at køre ethvert Adobe Flash-indhold, du finder på internettet. Selvom der er sårbarheder i Flash, er de rettet, og Adobe giver ikke op på Flashs sandboxing.
Som standard indlæser Java kun underskrevne applets. Det lyder fint, som en god sikkerhedsforbedring. Der er dog en alvorlig konsekvens her. Når en Java-applet er underskrevet, betragtes den som "betroet", og den bruger ikke sandkassen. Som Java's advarselsmeddelelse sætter det:
"Denne applikation vil køre med ubegrænset adgang, som kan sætte din computer og personlige oplysninger i fare."
Selv Oracle's egen Java-version tjek applet - en simpel lille applet, der kører Java for at tjekke din installerede version og fortæller dig, om du skal opdatere - kræver denne fuld systemadgang. Det er helt vanvittigt.
Med andre ord har Java virkelig givet op på sandkassen. Som standard kan du heller ikke køre en Java-applet eller køre den med fuld adgang til dit system. Der er ingen måde at bruge sandkassen på, medmindre du justerer Java's sikkerhedsindstillinger. Sandkassen er så ubestridelig, at hver bit af Java-kode, du møder online, har brug for fuld adgang til dit system. Du kan lige så godt downloade et Java-program og køre det frem for at stole på browser plug-in, som ikke giver den ekstra sikkerhed, det oprindeligt var designet til at levere.
Som en Java-udvikler forklarede: "Oracle forsætligt dræber Java-sikkerhedssandboken under forudsætning af at forbedre sikkerheden."
Webbrowsere deaktiverer det på egen hånd
Heldigvis går browsere ind for at rette op på Oracle's handling. Selvom du har plug-in til Java-browser installeret og aktiveret, vil Chrome og Firefox ikke indlæse Java-indhold som standard. De bruger "klik til afspilning" for Java-indhold.
Internet Explorer indlæser stadig Java-indhold automatisk. Internet Explorer er forbedret noget - det begyndte endelig at blokere forældede, sårbare ActiveX-kontroller sammen med "Windows 8.1 August Update" (også Windows 8.1 Update 2) i august 2014. Chrome og Firefox har gjort dette meget længere . Internet Explorer ligger bag andre browsere her - igen.
Sådan deaktiveres Java Plug-in
Alle, der har brug for Java installeret, skal i det mindste deaktivere plugin-modulet fra java-kontrolpanelet. Med nyere versioner af Java kan du trykke på Windows-tasten en gang for at åbne startmenuen eller startskærmen, skrive "Java" og derefter klikke på "Konfigurer Java" genvej. På fanen Sikkerhed fjerner du afkrydsningsfeltet "Aktiver Java-indhold i browseren".
Selv efter at du har deaktiveret plug-in'en, vil Minecraft og enhver anden desktop applikation, der afhænger af Java, køre helt fint. Dette vil kun blokere Java-applets, der er indlejret på websider.
Ja, Java-applets eksisterer stadig i det vilde. Du vil nok finde dem hyppigst på interne websteder, hvor nogle virksomheder har en gammel ansøgning skrevet som en Java-applet. Men Java-applets er en død teknologi, og de forsvinder fra forbrugerweben. De skulle konkurrere med Flash, men de tabte. Selvom du har brug for Java, behøver du sandsynligvis ikke plug-in.
Den lejlighedsvise virksomhed eller bruger, der har brug for Java-browser-plug-in, skal gå ind i Java's Kontrolpanel og vælge at aktivere det. Plug-in skal betragtes som en arvelig kompatibilitetsmulighed.