Орацле не може да обезбеди Јава Плуг-ин, па зашто је још увек подразумевано?
Јава је била одговорна за 91% компромиса свих компјутера у 2013. години. Већина људи не само да има омогућен плуг-ин Јава прегледника - они користе застарелу верзију. Хеј, Орацле - време је да искључи тај плуг-ин по дефаулту.
Орацле зна да је ситуација катастрофа. Одустали су од сигурносног окружења Јава плуг-ина, изворно дизајнираног да вас заштити од злонамерних Јава аплета. Јава аплети на Вебу имају потпуни приступ вашем систему са подразумеваним поставкама.
Јава додатак за прегледач је потпуна катастрофа
Браниоци Јава-а имају тенденцију да се жале кад год сајтови попут нас пишу да је Јава изузетно несигурна. "То је само плуг-ин прегледника", кажу они - признајући колико је сломљен. Али тај несигурни плуг-ин претраживача је подразумевано омогућен у свакој инсталацији Јаве. Статистике говоре саме за себе. Чак и овде у Хов-То Геек-у, 95% наших не-мобилних посетилаца има омогућен Јава плуг-ин. И ми смо сајт који стално говори нашим читаоцима да деинсталирају Јаву или барем онемогуће додатак.
Све у свему, студије показују да већина рачунара са инсталираним ЈАВ-ом има застарели Јава плуг-ин доступан за злонамерне веб странице које могу уништити. У 2013. години, студија коју је спровела Вебсенсе Сецурити Лабс показала је да 80% рачунара има застареле, рањиве верзије Јаве. Чак и најтврдокорније студије су застрашујуће - оне тврде да је више од 50% Јава плуг-инова застарело.
У 2014. години, Цисцо-ов годишњи извештај о безбедности каже да је 91 одсто свих напада у 2013. било против Јаве. Орацле чак покушава да искористи овај проблем спајањем ужасног Аск Тоолбара и других јункваре-а са ажурирањима за Јава - остани елегантан, Орацле.
Орацле је покупио Сандбокинг за Јава Плуг-ин
Јава плуг-ин покреће Јава програм - или “Јава апплет” - уграђен на веб страницу, слично ономе како Адобе Фласх ради. Будући да је Јава сложени језик који се користи за све, од десктоп апликација до серверског софтвера, плуг-ин је првобитно био дизајниран за покретање ових Јава програма у безбедном сандбоку. То би их спречило да раде лоше ствари у вашем систему, чак и ако су покушале.
У сваком случају, то је теорија. У пракси, постоји наизглед бескрајан низ рањивости које омогућавају Јава апплетима да побегну из сандбок-а и покрену груб процес преко вашег система.
Орацле схвата да је сандбок сада углавном сломљен, тако да је сандбок сада мртав. Одустали су од тога. Подразумевано, Јава више неће покретати "непотписане" аплете. Покретање непотписаних аплета не би требало да буде проблем ако је безбедносни сандук био поуздан - зато уопште није проблем да покренете било који Адобе Фласх садржај који сте пронашли на Вебу. Чак и ако постоје флексибилности у Фласху, оне су фиксне и Адобе не одустаје од Фласх-овог сандбокинга.
Подразумевано, Јава ће учитати само потписане аплете. То звучи добро, као добро побољшање сигурности. Међутим, овде постоји озбиљна последица. Када је Јава апплет потписан, он се сматра "поузданим" и не користи сандбок. Као што Јава порука упозорења каже:
"Ова апликација ће радити са неограниченим приступом који може угрозити ваше рачунало и особне податке."
Чак и Орацле-ов апплет за провјеру верзије Јава-а - једноставан мали апплет који покреће Јава да би провјерио вашу инсталирану верзију и каже вам да ли требате ажурирати - захтијева потпуни приступ систему. То је потпуно лудо.
Другим речима, Јава се заиста одрекла сандбок-а. По подразумеваној вредности, можете да не покренете Јава аплет или да га покренете са пуним приступом систему. Не постоји начин да користите сандбок ако не подешавате Јава безбедносне поставке. Сандбок је толико непоуздан да сваки део Јава кода на који наиђете на мрежи захтева потпуни приступ вашем систему. Можда бисте могли да преузмете Јава програм и покренете га уместо да се ослањате на додатак за прегледач, који не нуди додатну безбедност коју је првобитно дизајнирао да обезбеди.
Како је један Јава програмер објаснио: "Орацле намерно убија сигурносни сандучић Јава под претњом да побољшава сигурност."
Веб претраживачи га онемогућавају сами
Срећом, веб претраживачи улазе како би поправили неактивност Орацлеа. Чак и ако имате инсталиран и омогућен додатак за прегледач Јава, Цхроме и Фирефок не учитавају Јава садржај по подразумеваној вредности. Они користе "клик-за-играј" за Јава садржај.
Интернет Екплорер и даље аутоматски учитава Јава садржај. Интернет Екплорер се донекле побољшао - коначно је почео да блокира застареле, рањиве АцтивеКс контроле заједно са "Виндовс 8.1 Аугуст Упдате" (Виндовс 8.1 Упдате 2) у августу 2014. Цхроме и Фирефок раде ово много дуже . Интернет Екплорер је иза других претраживача - опет.
Како онемогућити Јава Плуг-ин
Свако коме је потребан Јава инсталиран мора бар да онемогући додатак из јава контролне табле. Са најновијим верзијама Јаве, можете да додирнете Виндовс тастер једном да бисте отворили мени Старт или почетни екран, откуцајте “Јава”, а затим кликните на “Конфигуриши Јава” пречицу. На картици Безбедност искључите опцију "Омогући садржај Јава у прегледачу".
Чак и након што онемогућите плуг-ин, Минецрафт и било која друга десктоп апликација која зависи од Јаве ће радити сасвим добро. Ово ће само блокирати Јава аплете уграђене на веб страницама.
Да, Јава аплети и даље постоје у дивљини. Вероватно ћете их најчешће наћи на интерним сајтовима где нека компанија има древну апликацију написану као Јава аплет. Али Јава аплети су мртва технологија и нестају са веб-а потрошача. Требало је да се такмиче са Фласхом, али су изгубили. Чак и ако вам је потребна Јава, вјеројатно вам не треба додатак.
Повремена компанија или корисник који треба плуг-ин Јава претраживача треба да оде у Јава контролну таблу и изабере да је омогући. Додатак треба сматрати опцијом за стару компатибилност.