Laman » bagaimana untuk » Oracle Tidak Dapat Mengamankan Plugin Java, Jadi Kenapa Ia Masih Diaktifkan Secara Lalai?

    Oracle Tidak Dapat Mengamankan Plugin Java, Jadi Kenapa Ia Masih Diaktifkan Secara Lalai?

    Java bertanggungjawab untuk 91 peratus daripada semua kompromi komputer pada tahun 2013. Kebanyakan orang bukan sahaja mempunyai pemalam penyemak imbas Java yang dibolehkan - mereka menggunakan versi yang terdahulu, terdedah. Hei, Oracle - saatnya untuk mematikan plug-in itu secara lalai.

    Oracle tahu keadaannya adalah bencana. Mereka telah berputus asa di kotak pasir keselamatan plug-in Java, yang pada asalnya direka untuk melindungi anda dari aplet Java yang berniat jahat. Applet Java di web mendapatkan akses lengkap ke sistem anda dengan tetapan lalai.

    Plugin Penyemak Imbas Java adalah Bencana Lengkap

    Pembela Jawa cenderung untuk mengeluh setiap kali situs seperti kami menulis bahwa Java sangat tidak aman. "Itu hanya penyemak imbas penyemak imbas," kata mereka - mengakui bagaimana pecah itu. Tetapi plug-in penyemak imbas yang tidak selamat ini diaktifkan secara lalai dalam setiap pemasangan Java di luar sana. Statistik bercakap untuk diri mereka sendiri. Malah di sini di How-To Geek, 95 peratus pengunjung tidak bergerak menggunakan Java plug-in. Dan kami adalah laman web yang terus memberitahu pembaca kami untuk menyahpasang Java atau sekurang-kurangnya melumpuhkan pemalam.

    Di seluruh dunia, kajian menunjukkan bahawa majoriti komputer dengan Java yang dipasang mempunyai pemalam penyemak imbas Java yang lama yang tersedia untuk laman web berniat jahat. Pada tahun 2013, satu kajian oleh Websense Security Labs menunjukkan bahawa 80 peratus komputer mempunyai versi Jawa yang terdedah, terdedah. Malah kajian yang paling amal adalah menakutkan - mereka cenderung untuk menuntut lebih daripada 50 peratus daripada pemalam Java adalah ketinggalan zaman.

    Pada tahun 2014, laporan keselamatan tahunan Cisco berkata 91 peratus daripada semua serangan pada tahun 2013 adalah menentang Jawa. Oracle juga cuba memanfaatkan masalah ini dengan menggabungkan Bar Alat Tanya yang dahsyat dan junkware yang lain dengan kemas kini Java - tetap berkelas, Oracle.

    Oracle Gave Up pada Java Sandboxing Plug-in

    Pemalam Java menjalankan program Java - atau "Java applet" - tertanam pada halaman web, mirip dengan cara kerja Adobe Flash. Kerana Java adalah bahasa yang rumit yang digunakan untuk segala-galanya dari aplikasi desktop ke perisian pelayan, plug-in pada asalnya dirancang untuk menjalankan program Java ini dalam kotak pasir yang aman. Ini akan menghalang mereka daripada melakukan perkara-perkara jahat kepada sistem anda, walaupun mereka cuba.

    Itulah teorinya. Dalam praktiknya, ada rentetan kerentanan yang tidak pernah berakhir yang membolehkan aplet Java melarikan diri dari kotak pasir dan berjalan kasar ke atas sistem anda.

    Oracle menyedari kotak pasir kini pada dasarnya pecah, jadi kotak pasir kini pada dasarnya mati. Mereka telah menyerah padanya. Secara lalai, Java tidak akan lagi menjalankan aplet "unsigned". Menjalankan applet tidak bertanda tidak akan menjadi masalah sekiranya kotak pasir keselamatan itu boleh dipercayai - itulah sebabnya ia tidak menjadi masalah untuk menjalankan apa-apa kandungan Adobe Flash yang anda temukan di web. Walaupun terdapat kelemahan dalam Flash, ia tetap dan Adobe tidak menyerah pada sandboxing Flash.

    Secara lalai, Java hanya akan memuat applet yang ditandatangani. Itu berbunyi dengan baik, seperti peningkatan keselamatan yang baik. Walau bagaimanapun, terdapat kesan yang serius di sini. Apabila applet Java ditandatangani, ia dianggap "dipercayai" dan ia tidak menggunakan kotak pasir. Sebagai mesej peringatan Java meletakkannya:

    "Aplikasi ini akan dijalankan dengan akses tidak terbatas yang mungkin meletakkan komputer dan maklumat peribadi anda berisiko."

    Walaupun versi Java sendiri Oracle memeriksa aplet - applet kecil mudah yang berjalan Java untuk memeriksa versi yang anda pasang dan memberitahu anda jika anda perlu mengemas kini - memerlukan akses sistem penuh ini. Itu benar-benar gila.

    Dengan kata lain, Java benar-benar telah menyerah di kotak pasir. Secara lalai, anda tidak boleh menjalankan applet Java atau menjalankannya dengan akses penuh ke sistem anda. Tidak ada cara untuk menggunakan kotak pasir melainkan anda tweak tetapan keselamatan Jawa. Kotak pasir begitu tidak boleh dipercayai bahawa setiap bit kod Java yang anda hadapi dalam talian memerlukan akses penuh ke sistem anda. Anda juga boleh memuat turun program Java dan menjalankannya daripada bergantung kepada pemalam penyemak imbas, yang tidak menawarkan keselamatan tambahan yang asalnya dirancang untuk menyediakan.

    Seperti yang dijelaskan oleh satu pemaju Java: "Oracle sengaja membunuh kotak pasir keselamatan Java di bawah kepura-pura meningkatkan keselamatan."

    Pelayar Web Melumpuhkannya Pada Sendiri

    Syukurlah, pelayar web melangkah masuk untuk membetulkan tindakan Oracle. Walaupun anda mempunyai pemalam penyemak imbas Java yang dipasang dan didayakan, Chrome dan Firefox tidak akan memuat kandungan Java secara lalai. Mereka menggunakan "klik untuk main" untuk kandungan Java.

    Internet Explorer masih memuatkan kandungan Java secara automatik. Internet Explorer telah bertambah baik - ia akhirnya mula menyekat kawalan ActiveX yang terdedah, bersama dengan "Windows 8.1 Update Ogos" (aka Windows 8.1 Update 2) pada bulan Ogos, 2014. Chrome dan Firefox telah melakukan ini untuk lebih lama . Internet Explorer berada di belakang pelayar lain di sini - sekali lagi.

    Bagaimana untuk mematikan Java Plug-in

    Setiap orang yang memerlukan Java dipasang sekurang-kurangnya melumpuhkan plug-in dari Panel Kawalan java. Dengan versi Java yang terkini, anda boleh mengetuk kunci Windows sekali untuk membuka menu Mula atau Mula skrin, ketik "Java," dan kemudian klik "Tetapkan Java" pintasan. Pada tab Keselamatan, nyahtanda pilihan "Dayakan kandungan Java dalam penyemak imbas".

    Walaupun selepas anda menyahdayakan plug-in, Minecraft dan aplikasi desktop lain yang bergantung pada Java akan berjalan dengan baik. Ini hanya akan menyekat applet Java yang tertanam di halaman web.


    Ya, applet Jawa masih wujud di alam liar. Anda mungkin akan mendapati mereka paling kerap di laman dalaman di mana sesetengah syarikat mempunyai aplikasi kuno yang ditulis sebagai applet Java. Tetapi applet Java adalah teknologi yang mati dan mereka lenyap dari web pengguna. Mereka sepatutnya bersaing dengan Flash, tetapi mereka kalah. Walaupun anda memerlukan Java, anda mungkin tidak memerlukan plug-in.

    Syarikat sesekali atau pengguna yang memerlukan pemalam penyemak imbas Java harus masuk ke Panel Kawalan Java dan memilih untuk mengaktifkannya. Plug-in harus dianggap sebagai pilihan keserasian warisan.