Η Oracle δεν μπορεί να εξασφαλίσει την προσθήκη Java, οπότε γιατί εξακολουθεί να είναι ενεργοποιημένη από προεπιλογή;
Η Java ήταν υπεύθυνη για το 91 τοις εκατό όλων των συμβιβασμών για υπολογιστές το 2013. Οι περισσότεροι άνθρωποι όχι μόνο διαθέτουν την προσθήκη προγράμματος περιήγησης Java ενεργοποιημένη - χρησιμοποιούν μια ξεπερασμένη, ευάλωτη έκδοση. Γεια σου, Oracle - ήρθε η ώρα να απενεργοποιήσετε αυτήν την προσθήκη από προεπιλογή.
Η Oracle γνωρίζει ότι η κατάσταση είναι καταστροφή. Έχουν παραιτηθεί από το sandbox ασφαλείας του Java plug-in, το οποίο σχεδιάστηκε αρχικά για να σας προστατεύσει από κακόβουλες μικροεφαρμογές Java. Οι μικροεφαρμογές Java στο διαδίκτυο έχουν πλήρη πρόσβαση στο σύστημά σας με τις προεπιλεγμένες ρυθμίσεις.
Η εφαρμογή Java Browser Plug-in είναι μια πλήρης καταστροφή
Οι υπερασπιστές της Java τείνουν να διαμαρτύρονται όποτε τοποθεσίες όπως η δική μας γράφουν ότι η Java είναι εξαιρετικά ανασφαλής. "Αυτό είναι μόνο το plug-in του προγράμματος περιήγησης", λένε - αναγνωρίζοντας πόσο σπασμένα είναι. Αλλά αυτή η ανασφαλής προσθήκη προγράμματος περιήγησης είναι ενεργοποιημένη από προεπιλογή σε κάθε εγκατάσταση της Java εκεί έξω. Τα στατιστικά στοιχεία μιλούν από μόνα τους. Ακόμη και εδώ στο How-To Geek, το 95% των μη κινητών επισκεπτών μας έχει ενεργοποιήσει την προσθήκη Java. Και είμαστε ένας ιστότοπος που συνεχώς λέει στους αναγνώστες μας την απεγκατάσταση της Java ή τουλάχιστον την απενεργοποίηση της προσθήκης.
Σε ολόκληρο το Internet, οι μελέτες συνεχίζουν να δείχνουν ότι η πλειοψηφία των υπολογιστών με εγκατεστημένη Java διαθέτει ένα ενημερωμένο πρόγραμμα περιήγησης Java που είναι διαθέσιμο για κακόβουλες ιστοσελίδες για να καταστρέφουν. Το 2013, μια μελέτη από τα Websense Security Labs έδειξε ότι το 80 τοις εκατό των υπολογιστών είχε ξεπερασμένες, ευάλωτες εκδόσεις της Java. Ακόμα και οι πιο φιλανθρωπικές μελέτες είναι τρομακτικές - τείνουν να ισχυρίζονται ότι περισσότερο από το 50% των plug-ins της Java είναι παρωχημένες.
Το 2014, η ετήσια έκθεση ασφαλείας της Cisco ανέφερε ότι το 91% όλων των επιθέσεων του 2013 ήταν κατά της Java. Η Oracle προσπαθεί ακόμη να εκμεταλλευτεί αυτό το πρόβλημα συγκεντρώνοντας την τρομερή γραμμή εργαλείων Ask και άλλα junkware με ενημερώσεις Java - παραμείνετε αριστοκρατικές, Oracle.
Oracle Gave Up στην Sandboxing του Java Plug-in
Η προσθήκη Java εκτελεί ένα πρόγραμμα Java - ή "applet Java" - ενσωματωμένο σε μια ιστοσελίδα, παρόμοιο με το πώς λειτουργεί το Adobe Flash. Επειδή η Java είναι μια σύνθετη γλώσσα που χρησιμοποιείται για τα πάντα, από εφαρμογές γραφείου έως λογισμικό διακομιστή, το plug-in σχεδιάστηκε αρχικά για να τρέχει αυτά τα προγράμματα Java σε ένα ασφαλές sandbox. Αυτό θα τους εμπόδιζε να κάνουν άσχημα πράγματα στο σύστημά σας, ακόμα κι αν προσπάθησαν.
Αυτή είναι η θεωρία, ούτως ή άλλως. Στην πράξη, υπάρχει μια φαινομενικά ατελείωτη ροή τρωτών σημείων που επιτρέπουν στις μικροεφαρμογές Java να ξεφύγουν από το sandbox και να εκτελέσουν τραυματισμούς πάνω στο σύστημά σας.
Oracle συνειδητοποιεί ότι το sandbox είναι πλέον βασικά σπασμένο, οπότε το sandbox είναι τώρα βασικά νεκρό. Έχουν παραιτηθεί από αυτό. Από προεπιλογή, η Java δεν θα εκτελεί πλέον εφαρμογές "unsigned". Η εκτέλεση ανώνυμων μικροεφαρμογών δεν θα πρέπει να αποτελεί πρόβλημα εάν το sandbox ασφαλείας ήταν αξιόπιστο - γι 'αυτό δεν είναι γενικά πρόβλημα να εκτελέσετε οποιοδήποτε περιεχόμενο Adobe Flash που βρίσκετε στον ιστό. Ακόμα κι αν υπάρχουν τρωτά σημεία στο Flash, είναι διορθωμένα και η Adobe δεν παραιτείται από το sandboxing του Flash.
Από προεπιλογή, η Java θα φορτώνει μόνο υπογεγραμμένες μικροεφαρμογές. Αυτό ακούγεται ωραία, σαν μια καλή βελτίωση της ασφάλειας. Ωστόσο, υπάρχει σοβαρή συνέπεια εδώ. Όταν ένα applet Java υπογραφεί, θεωρείται "αξιόπιστο" και δεν χρησιμοποιεί το sandbox. Όπως το προειδοποιητικό μήνυμα της Java το θέτει:
"Αυτή η εφαρμογή θα λειτουργεί με απεριόριστη πρόσβαση, η οποία μπορεί να θέσει σε κίνδυνο τον υπολογιστή και τις προσωπικές σας πληροφορίες".
Ακόμη και η Apple applet ελέγχου της έκδοσης Java της Oracle - ένα απλό μικρό applet που τρέχει το Java για να ελέγξει την εγκατεστημένη έκδοση και σας ενημερώνει αν χρειάζεται να ενημερώσετε - απαιτεί αυτή την πλήρη πρόσβαση στο σύστημα. Αυτό είναι εντελώς τρελό.
Με άλλα λόγια, η Java έχει παραιτηθεί πραγματικά από το sandbox. Από προεπιλογή, μπορείτε είτε να μην εκτελέσετε μια εφαρμογή Java ή να την εκτελέσετε με πλήρη πρόσβαση στο σύστημά σας. Δεν υπάρχει τρόπος να χρησιμοποιήσετε το sandbox εκτός και αν τροποποιήσετε τις ρυθμίσεις ασφαλείας της Java. Το sandbox είναι τόσο αναξιόπιστο που κάθε κομμάτι κώδικα Java που συναντάτε σε απευθείας σύνδεση χρειάζεται πλήρη πρόσβαση στο σύστημά σας. Μπορείτε επίσης να κατεβάσετε ένα πρόγραμμα Java και να το εκτελέσετε και όχι να βασιστείτε στο plug-in του προγράμματος περιήγησης, το οποίο δεν προσφέρει την πρόσθετη ασφάλεια που είχε αρχικά σχεδιαστεί για να παρέχει.
Όπως εξήγησε ένας προγραμματιστής της Java: "Η Oracle σκοπίμως σκοτώνει το sandbox ασφαλείας της Java κάτω από το πρόσχημα της βελτίωσης της ασφάλειας."
Τα προγράμματα περιήγησης Web την απενεργοποιούν από μόνα τους
Ευτυχώς, τα προγράμματα περιήγησης στο Web εντάσσονται για να διορθώσουν την αδράνεια της Oracle. Ακόμη και αν έχετε εγκαταστήσει και ενεργοποιήσει την προσθήκη προγράμματος περιήγησης Java, το Chrome και ο Firefox δεν θα φορτώσουν το περιεχόμενο Java από προεπιλογή. Χρησιμοποιούν το "click-to-play" για περιεχόμενο Java.
Ο Internet Explorer εξακολουθεί να φορτώνει αυτόματα περιεχόμενο Java. Ο Internet Explorer βελτιώθηκε κάπως - τελικά άρχισε να αποκλείει τα πιο πρόσφατα, ευάλωτα στοιχεία ελέγχου ActiveX μαζί με την "Ενημέρωση των Windows 8.1" (γνωστή και ως Windows 8.1 Update 2) τον Αύγουστο του 2014. Το Chrome και ο Firefox το κάνουν για πολύ περισσότερο . Ο Internet Explorer βρίσκεται πίσω από άλλα προγράμματα περιήγησης εδώ - και πάλι.
Πώς να απενεργοποιήσετε το Java Plug-in
Όλοι όσοι έχουν εγκατασταθεί Java πρέπει τουλάχιστον να απενεργοποιήσουν την προσθήκη από τον Πίνακα Ελέγχου της java. Με τις πρόσφατες εκδόσεις της Java, μπορείτε να πατήσετε μία φορά το πλήκτρο Windows για να ανοίξετε το μενού Έναρξη ή την Αρχική οθόνη, πληκτρολογήστε "Java" και, στη συνέχεια, κάντε κλικ στη συντόμευση "Διαμόρφωση Java". Στην καρτέλα Ασφάλεια, καταργήστε την επιλογή "Ενεργοποίηση περιεχομένου Java στο πρόγραμμα περιήγησης".
Ακόμη και μετά την απενεργοποίηση της προσθήκης, η Minecraft και οποιαδήποτε άλλη εφαρμογή γραφείου που εξαρτάται από την Java θα λειτουργήσει καλά. Αυτό θα μπλοκάρει μόνο τις μικροεφαρμογές Java ενσωματωμένες σε ιστοσελίδες.
Ναι, οι μικροεφαρμογές Java εξακολουθούν να υπάρχουν στη φύση. Πιθανότατα θα τα βρείτε συχνότερα σε εσωτερικούς ιστότοπους όπου κάποια εταιρεία έχει μια αρχαία εφαρμογή γραμμένη ως Java applet. Αλλά οι μικροεφαρμογές Java είναι μια νεκρή τεχνολογία και εξαφανίζονται από τον ιστό των καταναλωτών. Υποτίθεται ότι ανταγωνίζονται με το Flash, αλλά έχασαν. Ακόμα κι αν χρειάζεστε Java, ίσως δεν χρειάζεστε το plug-in.
Η περιστασιακή εταιρεία ή χρήστης που χρειάζεται το plug-in προγράμματος περιήγησης Java θα πρέπει να μεταβεί στον Πίνακα Ελέγχου της Java και να την ενεργοποιήσει. Η προσθήκη πρέπει να θεωρείται ως συμβατότητα συμβατότητας παλαιού τύπου.