Oracle не может защитить подключаемый модуль Java, почему он все еще включен по умолчанию?



На долю Java в 2013 году приходился 91 процент всех взломов компьютеров. У большинства людей не только включен подключаемый модуль для браузера Java, но и используется устаревшая уязвимая версия. Привет, Oracle, пора отключить этот плагин по умолчанию.

Oracle знает, что это катастрофа. Они отказались от изолированной программной среды подключаемого модуля Java, изначально предназначенной для защиты от вредоносных Java-апплетов. Java-апплеты в сети получают полный доступ к вашей системе с настройками по умолчанию.





Подключаемый модуль браузера Java - полная катастрофа

Защитники Java имеют тенденцию жаловаться, когда сайты вроде нашего пишут, что Java крайне небезопасна. Они говорят, что это просто плагин для браузера, признающий, насколько он неисправен. Но этот небезопасный подключаемый модуль браузера включен по умолчанию при каждой отдельной установке Java. Статистика говорит сама за себя. Даже здесь, в How-To Geek, 95 процентов наших немобильных посетителей используют подключаемый модуль Java. И мы - веб-сайт, который постоянно советует нашим читателям удалить Java или хотя бы отключить плагин .

Исследования, проводимые в Интернете, продолжают показывать, что на большинстве компьютеров с установленной Java установлена ​​устаревшая подключаемая программа для браузера Java, доступная для разрушения вредоносными веб-сайтами. В 2013 г. исследование Websense Security Labs показали, что на 80% компьютеров установлены устаревшие уязвимые версии Java. Даже самые благотворительные исследования пугают - они, как правило, утверждают, что более 50 процентов подключаемых модулей Java устарели.



В 2014, Годовой отчет Cisco по безопасности сказал, что 91% всех атак в 2013 году были направлены против Java. Oracle даже пытается воспользоваться этой проблемой, объединяя ужасная панель инструментов Ask и другое нежелательное ПО с обновлениями Java - оставайся классным, Oracle.

Oracle отказался от песочницы для подключаемого модуля Java

Подключаемый модуль Java запускает программу Java или апплет Java, встроенную в веб-страницу, аналогично тому, как работает Adobe Flash. Поскольку Java - сложный язык, используемый для всего, от настольных приложений до серверного программного обеспечения, плагин изначально был разработан для запуска этих Java-программ в безопасная песочница . Это помешает им делать неприятные вещи с вашей системой, даже если они попытаются.



Реклама

Во всяком случае, это теория. На практике существует, казалось бы, нескончаемый поток уязвимостей, которые позволяют Java-апплетам выходить из песочницы и грубо работать в вашей системе.

Oracle понимает, что песочница теперь в основном сломана, поэтому песочница практически мертва. Они отказались от этого. По умолчанию Java больше не запускает неподписанные апплеты. Запуск неподписанных апплетов не должен быть проблемой, если песочница безопасности заслуживает доверия - вот почему обычно не проблема запускать любой контент Adobe Flash, который вы найдете в Интернете. Даже если в Flash есть уязвимости, они исправлены, и Adobe не отказывается от песочницы Flash.

По умолчанию Java загружает только подписанные апплеты. Звучит нормально, как хорошее улучшение безопасности. Однако здесь есть серьезные последствия. Подписанный Java-апплет считается доверенным и не использует песочницу. Как сказано в предупреждающем сообщении Java:

Это приложение будет работать с неограниченным доступом, что может поставить под угрозу ваш компьютер и личную информацию.

Даже собственный апплет проверки версии Java от Oracle - простой небольшой апплет, который запускает Java для проверки установленной версии и сообщает вам, нужно ли вам выполнить обновление, - требует этого полного доступа к системе. Это совершенно безумие.

Другими словами, Java действительно отказалась от песочницы. По умолчанию вы можете либо не запускать Java-апплет, либо запускать его с полным доступом к вашей системе. Невозможно использовать песочницу, если вы не измените настройки безопасности Java. Песочница настолько ненадежна, что каждый бит кода Java, с которым вы сталкиваетесь в сети, требует полного доступа к вашей системе. С таким же успехом вы можете просто загрузить программу на Java и запустить ее, а не полагаться на подключаемый модуль браузера, который не обеспечивает дополнительную безопасность, для обеспечения которой он был изначально разработан.

Реклама

Как один Java-разработчик объяснил : Oracle намеренно убивает изолированную программную среду безопасности Java под предлогом улучшения безопасности.

Веб-браузеры отключают его самостоятельно

К счастью, браузеры вмешиваются, чтобы исправить бездействие Oracle. Даже если у вас установлен и включен подключаемый модуль для браузера Java, Chrome и Firefox по умолчанию не загружают содержимое Java. Для контента Java используется игра по нажатию.

Internet Explorer по-прежнему автоматически загружает содержимое Java. Internet Explorer несколько улучшился - он, наконец, начал блокировать устаревшие, уязвимые элементы управления ActiveX вместе с Августовское обновление Windows 8.1 (также известное как Windows 8.1 с обновлением 2) в августе 2014 года. Chrome и Firefox занимаются этим гораздо дольше. Internet Explorer здесь снова отстает от других браузеров.

Как отключить подключаемый модуль Java

Всем, кому нужна установленная Java, следует как минимум отключить подключаемый модуль в Панели управления java. В последних версиях Java вы можете один раз нажать клавишу Windows, чтобы открыть меню «Пуск» или начальный экран, введите «Java» и затем щелкните ярлык «Настроить Java». На вкладке «Безопасность» снимите флажок «Включить содержимое Java в браузере».

Даже после того, как вы отключите плагин, Шахтерское ремесло и любое другое настольное приложение, зависящее от Java, будет работать нормально. Это заблокирует только Java-апплеты, встроенные в веб-страницы.


Да, Java-апплеты все еще существуют в дикой природе. Вы, вероятно, чаще всего найдете их на внутренних сайтах, где у какой-нибудь компании есть древнее приложение, написанное в виде Java-апплета. Но Java-апплеты - это мертвая технология, и они исчезают из потребительской сети. Они должны были составить конкуренцию Flash, но проиграли. Даже если вам нужна Java, вероятно, вам не понадобится плагин.

Реклама

Случайной компании или пользователю, которому требуется подключаемый модуль для браузера Java, следует зайти в панель управления Java и выбрать его включение. Подключаемый модуль следует рассматривать как вариант совместимости с устаревшими версиями.

ПРОЧИТАЙТЕ СЛЕДУЮЩИЙ Фотография профиля Криса Хоффмана Крис Хоффман
Крис Хоффман - главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года вел обозреватель PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на таких телеканалах, как NBC 6 в Майами, и его работа освещалась такими новостными агентствами, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз - и это только здесь, в How-To Geek.
Прочитать полную биографию

Интересные статьи