Орацле не може да обезбеди Јава додатак, па зашто је и даље подразумевано омогућен?



Јава је била одговорна за 91 одсто свих компјутерских компромиса у 2013. Већина људи не само да има омогућен додатак за Јава претраживач – они користе застарелу, рањиву верзију. Хеј, Орацле — време је да подразумевано онемогућите тај додатак.

Орацле зна да је ситуација катастрофална. Одустали су од безбедносног окружења Јава додатка, првобитно дизајнираног да вас заштити од злонамерних Јава аплета. Јава аплети на вебу добијају потпун приступ вашем систему са подразумеваним подешавањима.





Додатак за Јава претраживач је потпуна катастрофа

Браниоци Јаве имају тенденцију да се жале кад год сајтови попут наше пишу да је Јава изузетно несигурна. То је само додатак за претраживач, кажу - признајући колико је покварен. Али тај небезбедни додатак за прегледач је подразумевано омогућен у свакој појединачној инсталацији Јаве. Статистика говори сама за себе. Чак и овде у Хов-То Геек-у, 95 процената наших посетилаца који нису мобилни има омогућен Јава додатак. А ми смо веб локација која својим читаоцима стално говори деинсталирај јава или барем онемогућите додатак .

Студије широм интернета показују да већина рачунара са инсталираном Јавом има застарели додатак за Јава претраживач који је доступан за уништавање злонамерних веб локација. 2013. године, а студија Вебсенсе Сецурити Лабс показало је да 80 одсто рачунара има застареле, рањиве верзије Јаве. Чак су и најдобротворније студије застрашујуће — оне имају тенденцију да тврде да је више од 50 процената Јава додатака застарело.



Године 2014. Цисцо-ов годишњи извештај о безбедности рекао је да је 91 одсто свих напада у 2013. било против Јаве. Орацле чак покушава да искористи предност овог проблема тако што се повезује ужасна трака са алаткама Аск и други нежељени софтвер са Јава ажурирањима — останите елегантни, Орацле.

Орацле је одустао од сандбокинг-а Јава Плуг-ина

Јава додатак покреће Јава програм — или Јава аплет — уграђен у веб страницу, слично како ради Адобе Фласх. Пошто је Јава сложен језик који се користи за све, од десктоп апликација до серверског софтвера, додатак је првобитно дизајниран да покреће ове Јава програме у сигуран сандбок . Ово би их спречило да раде гадне ствари вашем систему, чак и ако покушају.



Реклама

То је теорија, у сваком случају. У пракси, постоји наизглед непрекидан ток рањивости које омогућавају Јава аплетима да побегну из сандбок-а и грубо прођу кроз ваш систем.

Орацле схвата да је сандбок сада у основи покварен, тако да је сандбок сада у основи мртав. Одустали су од тога. Подразумевано, Јава више неће покретати непотписане аплете. Покретање непотписаних аплета не би требало да представља проблем ако је безбедносно окружење било поуздано – зато генерално није проблем покренути било који Адобе Фласх садржај који пронађете на вебу. Чак и ако постоје пропусте у Фласх-у, оне су поправљене и Адобе не одустаје од Фласх-овог сандбокинг-а.

Јава ће подразумевано учитавати само потписане аплете. То звучи добро, као добро безбедносно побољшање. Међутим, овде постоји озбиљна последица. Када је Јава аплет потписан, сматра се поузданим и не користи сандбок. Као што Јава порука упозорења каже:

Ова апликација ће радити са неограниченим приступом што може угрозити ваш рачунар и личне податке.

Чак и Орацлеов сопствени аплет за проверу Јава верзије — једноставан мали аплет који покреће Јаву да провери вашу инсталирану верзију и говори вам да ли треба да ажурирате — захтева овај потпуни приступ систему. То је потпуно сулудо.

Другим речима, Јава је заиста одустала од сандбок-а. Подразумевано, не можете да покренете Јава аплет или да га покренете са пуним приступом вашем систему. Не постоји начин да се користи сандбок осим ако не подесите безбедносна подешавања Јаве. Пешчано окружење је толико непоуздано да сваки део Јава кода на који наиђете на мрежи треба потпун приступ вашем систему. Можете једноставно да преузмете Јава програм и покренете га, а не да се ослањате на додатак за претраживач, који не нуди додатну сигурност коју је првобитно дизајниран да пружи.

Реклама

Као један Јава програмер објаснио : Орацле намерно убија Јава безбедносно окружење под изговором да побољшава безбедност.

Веб претраживачи га сами онемогућавају

Срећом, веб претраживачи улазе у поправку Орацле-ове неактивности. Чак и ако имате инсталиран и омогућен додатак за Јава претраживач, Цхроме и Фирефок неће подразумевано учитавати Јава садржај. Они користе клик за репродукцију за Јава садржај.

Интернет Екплорер и даље аутоматски учитава Јава садржај. Интернет Екплорер се донекле побољшао — коначно је почео да блокира застареле, рањиве АцтивеКс контроле заједно са Виндовс 8.1 ажурирање за август (ака Виндовс 8.1 ажурирање 2) у августу 2014. Цхроме и Фирефок то раде много дуже. Интернет Екплорер је овде иза других претраживача — опет.

Како онемогућити Јава додатак

Сви којима је потребна инсталирана Јава треба барем да онемогуће додатак са јава Цонтрол Панела. Са најновијим верзијама Јаве, можете једном да додирнете тастер Виндовс да бисте отворили мени Старт или почетни екран, откуцајте Јава, а затим кликните на пречицу Конфигуриши Јава. На картици Безбедност поништите избор опције Омогући Јава садржај у претраживачу.

Чак и након што онемогућите додатак, Минецрафт и свака друга десктоп апликација која зависи од Јаве ће радити сасвим добро. Ово ће блокирати само Јава аплете уграђене на веб странице.


Да, Јава аплети још увек постоје у дивљини. Вероватно ћете их најчешће наћи на интерним сајтовима где нека компанија има древну апликацију написану као Јава аплет. Али Јава аплети су мртва технологија и нестају са потрошачке мреже. Требало је да се такмиче са Флешом, али су изгубили. Чак и ако вам је потребна Јава, вероватно вам не треба додатак.

Реклама

Повремено предузеће или корисник којима је потребан Јава додатак за претраживач би требало да оде у Јаву контролну таблу и одабере да је омогући. Додатак треба сматрати опцијом компатибилности са застарелом.

ПРОЧИТАЈТЕ СЛЕДЕЋЕ Профилна слика за Цхриса Хоффмана Цхрис Хоффман
Цхрис Хоффман је главни уредник Хов-То Геек. О технологији је писао више од деценије и две године је био колумниста ПЦВорлд-а. Крис је писао за Тхе Нев Иорк Тимес, био је интервјуисан као стручњак за технологију на ТВ станицама као што је НБЦ 6 у Мајамију, а његов рад су покривале новинске куће као што је ББЦ. Од 2011. Крис је написао преко 2.000 чланака који су прочитани скоро милијарду пута --- и то само овде у Хов-То Геек.
Прочитајте целу биографију

Занимљиви Чланци