Oracle не може захистити плагін Java, так чому він все ще доступний за замовчуванням?

Java відповідає за 91 відсоток всіх компромісів комп'ютерів у 2013 році. Більшість людей не тільки мають вбудований модуль для браузера Java - вони використовують застарілу, уразливу версію. Ей, Oracle - пора відключити цей плагін за замовчуванням.

Oracle знає, що ситуація є катастрофою. Вони відмовилися від пісочниці безпеки Java плагіна, спочатку розробленого для захисту від шкідливих аплетів Java. Java-аплети в Інтернеті отримують повний доступ до вашої системи з типовими параметрами.

Модуль браузера Java - це повна катастрофа

Захисники Java, як правило, скаржаться, коли такі сайти, як наша, пишуть, що Java дуже небезпечна. "Це лише плагін для браузера", - кажуть вони, - визнаючи, наскільки він зламаний. Але цей ненадійний плагін для браузера вмикається за замовчуванням у кожній окремій установці Java. Статистика говорить сама за себе. Навіть тут, у How-To Geek, 95 відсотків наших немобільних відвідувачів мають плагін Java. І ми є веб-сайтом, який постійно повідомляє читачів про видалення Java або принаймні відключення плагіна.

В Інтернеті дослідження продовжують показувати, що більшість комп'ютерів із встановленою Java мають застарілий плагін для браузера Java, доступний для зловмисних веб-сайтів. У 2013 році дослідження, проведене Websense Security Labs, показало, що 80% комп'ютерів мають застарілі, вразливі версії Java. Навіть найбільш благодійні дослідження страшні - вони, як правило, стверджують, що більш ніж 50% плагінів Java застаріли.

У 2014 році щорічний звіт про безпеку Cisco повідомив, що 91% всіх атак в 2013 році були проти Java. Oracle навіть намагається скористатися цією проблемою, поєднавши страшний Ask Toolbar та інші junkware з оновленнями Java - залишитися класним, Oracle.

Oracle відмовився від пісочниці Java Plug-in

Модуль Java запускає програму Java або Java-аплет, вбудовану на веб-сторінці, подібно до того, як працює Adobe Flash. Оскільки Java є складною мовою, яка використовується для всіх, від настільних до серверних програм, плагін спочатку розроблявся для запуску цих програм Java в захищеному пісочниці. Це завадить їм робити неприємні речі у вашій системі, навіть якщо вони намагаються.

Це теорія, так чи інакше. На практиці існує, здавалося б, нескінченний потік вразливостей, який дозволяє аплетам Java вийти з пісочниці і запустити грубу обробку системи.

Oracle розуміє, що пісочниця тепер в основному розбита, тому пісочниця тепер в основному мертва. Вони відмовилися від цього. За замовчуванням Java більше не буде запускати аплети "без знака". Запуск непідписаних аплетів не повинен бути проблемою, якщо безпечний піксель був надійним - тому, як правило, не є проблемою запускати будь-який вміст Adobe Flash, який ви знайдете в Інтернеті. Навіть якщо у Flash існують вразливості, вони фіксовані, і Adobe не відмовляється від Flash-версії Flash.

За замовчуванням Java завантажуватиме лише підписані аплети. Це звучить чудово, як хороше поліпшення безпеки. Але тут є серйозні наслідки. Коли підписаний аплет Java, він вважається "довіреним" і не використовує пісочницю. Як повідомляє попередження Java:

"Ця програма буде працювати з необмеженим доступом, що може поставити під загрозу ваш комп'ютер і особисту інформацію."

Навіть власний аплет для перевірки версій Java - простий маленький аплет, який запускає Java для перевірки встановленої версії, і повідомляє вам, чи потрібно оновити, - вимагає повного доступу до системи. Це абсолютно божевільно.

Іншими словами, Java дійсно відмовилася від пісочниці. Типово, ви не можете запустити Java-аплет або запустити його з повним доступом до вашої системи. Неможливо використовувати пісочницю, якщо не налаштувати параметри безпеки Java. Пісочниця настільки недостовірна, що кожен біт Java-коду, з яким ви стикаєтеся в Інтернеті, потребує повного доступу до вашої системи. Можна також просто завантажити програму Java і запустити її, а не покластися на плагін веб-переглядача, який не надає додаткової безпеки, яку спочатку було створено для забезпечення.

Як пояснив один розробник Java: "Oracle навмисно знищує пісочницю безпеки Java під приводом поліпшення безпеки".

Веб-браузери відключають його на власний розсуд

На щастя, веб-браузери вступають, щоб виправити бездіяльність Oracle. Навіть якщо ви встановили та ввімкнули плагін для браузера Java, Chrome та Firefox не завантажуватимуть вміст Java за умовчанням. Для вмісту Java вони використовують "відтворення за допомогою клацання".

Internet Explorer автоматично завантажує вміст Java. Internet Explorer дещо покращився - нарешті, він почав блокувати застарілі, уразливі елементи керування ActiveX разом із "Оновленням Windows 8.8" (він же Windows 8.1 Update 2) у серпні 2014 року. Chrome і Firefox робили це набагато довше . Internet Explorer відстає від інших браузерів - знову.

Як вимкнути плагін Java

Кожен, хто потребує встановленого Java, повинен принаймні відключити модуль з панелі керування Java. З останніми версіями Java можна натиснути клавішу Windows один раз, щоб відкрити меню "Пуск" або екран "Пуск", введіть "Java", а потім клацніть ярлик "Налаштувати Java". На вкладці Безпека зніміть прапорець "Увімкнути вміст Java в браузері".

Навіть після відключення плагіна, Minecraft і будь-яке інше настільне додаток, що залежить від Java, працюватиме нормально. Це заблокує лише аплети Java, вбудовані в веб-сторінки.

Так, аплети Java ще існують у дикій природі. Ви, ймовірно, знайдете їх найчастіше на внутрішніх сайтах, де деякі компанії мають стародавнє додаток, написане як аплет Java. Але аплети Java є мертвою технологією, і вони зникають зі споживчої мережі. Вони повинні були конкурувати з Flash, але вони програли. Навіть якщо вам потрібна Java, вам, ймовірно, не потрібен плагін.

Час від часу компанія або користувач, які потребують плагіна браузера Java, повинні зайти в панель керування Java і вибрати, щоб її включити. Плагін повинен розглядатися як застарілий варіант сумісності.