cs.phhsnews.com


cs.phhsnews.com / Oracle není schopen zabezpečit Java plug-in, tak proč je stále povolen výchozí?

Oracle není schopen zabezpečit Java plug-in, tak proč je stále povolen výchozí?


V roce 2013 byla Java zodpovědná za 91 procent všech počítačových kompromisů. plug-in prohlížeče Java je povolen - používají zastaralou, zranitelnou verzi. Ahoj, Oracle - je načase, aby byl plug-in standardně deaktivován.

Oracle ví, že situace je katastrofa. Opustili bezpečnostní karanténu Java plug-in původně navrženou tak, aby vás ochraňovala před škodlivými Java applety. Java applety na webu získají úplný přístup k vašemu systému s výchozím nastavením.

Plugin Java Browser je úplná katastrofa

Obránci Java mají tendenci si stěžovat, kdykoli stránky, jako je naše, píší, že Java je extrémně nejistá. "To je jen plug-in prohlížeče," říkají - uznávají, jak zlomená je. Ale tento nezabezpečený plug-in prohlížeče je ve výchozím nastavení povolen v každé jednotlivé instalaci Java. Statistika mluví sama za sebe. Dokonce i tady v systému How-To Geek má 95 procent našich nepoužívaných návštěvníků zapnuto plug-in Java. A my jsme internetová stránka, která stále informuje naše čtenáře o odinstalaci Java nebo alespoň o vypnutí plug-inu.

Internetové studie stále ukazují, že většina počítačů s nainstalovanou Java má zastaralý Java prohlížeč plug-in k dispozici pro škodlivé webové stránky, aby zpustošili. V roce 2013 studie společnosti Websense Security Labs ukázala, že 80 procent počítačů mělo zastaralé, zranitelné verze Java. Dokonce i ty charitativní studie jsou děsivé - mají tendenci tvrdit, že více než 50 procent Java plug-inů je zastaralé.

V roce 2014 výroční bezpečnostní zpráva společnosti Cisco uvedla, že 91% všech útoků v roce 2013 bylo proti Java. Oracle se dokonce pokouší využít tohoto problému tím, že spojuje strašlivou nástrojovou lištu Ask a další junkware s aktualizací Java - zůstává klasický, Oracle.

Oracle Gave Up na Sandboxingu Java Plug-in

Zásuvný modul Java běží a Java program - nebo "Java applet" - vložený na webovou stránku, podobně jako Adobe Flash. Protože Java je složitý jazyk používaný pro vše od desktopových aplikací až po serverový software, byl plug-in původně navržen tak, aby spustil tyto programy Java v zabezpečeném karanténě. To by jim zabránilo v tom, že by váš systém mohli dělat nepříjemné věci, i kdyby se o to pokusili.

To je teorie. V praxi existuje zdánlivě nekončící proud zranitelných míst, který dovoluje Java appletům uniknout z pískovce a běhat na váš systém.

Oracle si uvědomuje, že pískoviště je v podstatě zlomené, takže pískoviště je nyní v podstatě mrtvé. Opustili to. Ve výchozím nastavení již Java nebude spouštět "nepodepsané" applety. Spouštění nepodepsaných appletů by nemělo být problémem, kdyby karta zabezpečení byla důvěryhodná - proto není obecně problém spouštět obsah Adobe Flash, který najdete na webu. I když jsou ve Flashu chyby zabezpečení, jsou opraveny a Adobe se nevzdává sandboxu Flash.

Ve výchozím nastavení Java načte pouze podepsané applety. To zní dobře, jako dobré zlepšení zabezpečení. Zde je však vážný důsledek. Když je applet Java podepsán, považuje se za "důvěryhodný" a nepoužívá karanténu. "

" Tato aplikace bude spuštěna s neomezeným přístupem, který může ohrozit váš počítač a osobní informace. "

Dokonce i samotná aplikace Oracle pro kontrolu verzí Java - jednoduchý malý applet, který spouští Javu nainstalovanou verzi a informuje o tom, zda potřebujete aktualizovat - vyžaduje tento úplný přístup k systému. To je naprosto šílené.

Jinými slovy, Java se skutečně vzdala sandboxu. Ve výchozím nastavení nelze spustit applet Java nebo jej spustit s plným přístupem k systému. Neexistuje žádný způsob, jak používat pískoviště, pokud nestíháte nastavení zabezpečení Java. Sandbox je tak nedůvěryhodný, že každý bit Java kódu, který narazíte online, potřebuje plný přístup do vašeho systému. Můžete také stahovat program Java a spustit jej spíše než spoléhat se na plug-in prohlížeče, který nenabízí dodatečné zabezpečení, které bylo původně navrženo tak, aby poskytovalo

Jak jeden vývojář Java vysvětlil: "Oracle záměrně zabíjí bezpečnostní karanténu Java pod záminkou zlepšení bezpečnosti."

Webové prohlížeče tuto funkci zakazují

Naštěstí webové prohlížeče vstoupí do opravy nečinnosti společnosti Oracle. I když máte nainstalovaný a povolený plug-in prohlížeče Java, Chrome a Firefox nebudou ve výchozím nastavení načítat obsah Java. Používají "obsah pro přehrávání" pro obsah Java.

Internet Explorer stále načítá obsah Java. Internet Explorer se poněkud zlepšil - v srpnu 2014 začal blokovat zastaralé a zranitelné ovládací prvky ActiveX společně s "Windows 8.1 August Update" (podobně jako Windows 8.1 Update 2). Chrome a Firefox to dělají mnohem déle . Internet Explorer je za ostatními prohlížeči - opět.

Jak zakázat Java Plug-in

Každý, kdo potřebuje nainstalovanou Java, by měl přinejmenším vypnout plug-in z ovládacího panelu java. S nejnovějšími verzemi Java můžete jednou klepnout na tlačítko Windows a otevřít nabídku Start nebo Start, zadejte "Java" a potom klepněte na zástupce "Konfigurovat Java". Na kartě Zabezpečení zrušte zaškrtnutí políčka "Povolit obsah Java v prohlížeči".

Dokonce i po vypnutí modulu plug-in se Minecraft a jiná aplikace pro stolní počítače, která závisí na jazyce Java, budou fungovat správně. Toto blokuje pouze Java applety vložené na webových stránkách.


Ano, applety Java stále existují ve volné přírodě. Pravděpodobně je najdete nejčastěji na interních stránkách, kde má nějaká firma starou aplikaci napsanou jako applet Java. Ale Java applety jsou mrtvou technologií a oni jsou mizí z spotřebitelského webu. Oni měli soutěžit s Flashem, ale ztratili. Dokonce i když potřebujete Javu, pravděpodobně nepotřebujete plug-in.

Příležitostná společnost nebo uživatel, který potřebuje plug-in prohlížeče Java, musí jít do Ovládacího panelu Java a zvolit ji. Plug-in by měl být považován za starší možnost kompatibility.


Ovládání vašeho PlayStation 4 s vaším smartphone

Ovládání vašeho PlayStation 4 s vaším smartphone

Oficiální aplikace PlayStation společnosti Sony, která je k dispozici jak pro telefony Android, tak i pro telefony iPhone, umožňuje dálkově ovládat zařízení PS4. Používejte jej jako dálkový ovladač pro přehrávání nebo klávesnici pro rychlé psaní, aniž byste spoléhali na ovladač PS4 a klávesnici na televizoru.

(how-to)

Měli byste si koupit extra paměť RAM pro starý počítač?

Měli byste si koupit extra paměť RAM pro starý počítač?

Někdy máte starší, ale stále velmi užitečný počítač a čelíte dilematu, měli byste ho upgradovat nebo jednoduše podržet, koupit nový? Dnešní příspěvek SuperUser Q & A pojednává o dilematu za účelem pomoci čtenáři, aby se rozhodl. Současná otázka a odpověď se k nám dostala s laskavým svolením SuperUseru - subdivize Stack Exchange, komunitně řízeného seskupení webových stránek Q & A.

(how-to)