cs.phhsnews.com


cs.phhsnews.com / Oracle není schopen zabezpečit Java plug-in, tak proč je stále povolen výchozí?

Oracle není schopen zabezpečit Java plug-in, tak proč je stále povolen výchozí?


V roce 2013 byla Java zodpovědná za 91 procent všech počítačových kompromisů. plug-in prohlížeče Java je povolen - používají zastaralou, zranitelnou verzi. Ahoj, Oracle - je načase, aby byl plug-in standardně deaktivován.

Oracle ví, že situace je katastrofa. Opustili bezpečnostní karanténu Java plug-in původně navrženou tak, aby vás ochraňovala před škodlivými Java applety. Java applety na webu získají úplný přístup k vašemu systému s výchozím nastavením.

Plugin Java Browser je úplná katastrofa

Obránci Java mají tendenci si stěžovat, kdykoli stránky, jako je naše, píší, že Java je extrémně nejistá. "To je jen plug-in prohlížeče," říkají - uznávají, jak zlomená je. Ale tento nezabezpečený plug-in prohlížeče je ve výchozím nastavení povolen v každé jednotlivé instalaci Java. Statistika mluví sama za sebe. Dokonce i tady v systému How-To Geek má 95 procent našich nepoužívaných návštěvníků zapnuto plug-in Java. A my jsme internetová stránka, která stále informuje naše čtenáře o odinstalaci Java nebo alespoň o vypnutí plug-inu.

Internetové studie stále ukazují, že většina počítačů s nainstalovanou Java má zastaralý Java prohlížeč plug-in k dispozici pro škodlivé webové stránky, aby zpustošili. V roce 2013 studie společnosti Websense Security Labs ukázala, že 80 procent počítačů mělo zastaralé, zranitelné verze Java. Dokonce i ty charitativní studie jsou děsivé - mají tendenci tvrdit, že více než 50 procent Java plug-inů je zastaralé.

V roce 2014 výroční bezpečnostní zpráva společnosti Cisco uvedla, že 91% všech útoků v roce 2013 bylo proti Java. Oracle se dokonce pokouší využít tohoto problému tím, že spojuje strašlivou nástrojovou lištu Ask a další junkware s aktualizací Java - zůstává klasický, Oracle.

Oracle Gave Up na Sandboxingu Java Plug-in

Zásuvný modul Java běží a Java program - nebo "Java applet" - vložený na webovou stránku, podobně jako Adobe Flash. Protože Java je složitý jazyk používaný pro vše od desktopových aplikací až po serverový software, byl plug-in původně navržen tak, aby spustil tyto programy Java v zabezpečeném karanténě. To by jim zabránilo v tom, že by váš systém mohli dělat nepříjemné věci, i kdyby se o to pokusili.

To je teorie. V praxi existuje zdánlivě nekončící proud zranitelných míst, který dovoluje Java appletům uniknout z pískovce a běhat na váš systém.

Oracle si uvědomuje, že pískoviště je v podstatě zlomené, takže pískoviště je nyní v podstatě mrtvé. Opustili to. Ve výchozím nastavení již Java nebude spouštět "nepodepsané" applety. Spouštění nepodepsaných appletů by nemělo být problémem, kdyby karta zabezpečení byla důvěryhodná - proto není obecně problém spouštět obsah Adobe Flash, který najdete na webu. I když jsou ve Flashu chyby zabezpečení, jsou opraveny a Adobe se nevzdává sandboxu Flash.

Ve výchozím nastavení Java načte pouze podepsané applety. To zní dobře, jako dobré zlepšení zabezpečení. Zde je však vážný důsledek. Když je applet Java podepsán, považuje se za "důvěryhodný" a nepoužívá karanténu. "

" Tato aplikace bude spuštěna s neomezeným přístupem, který může ohrozit váš počítač a osobní informace. "

Dokonce i samotná aplikace Oracle pro kontrolu verzí Java - jednoduchý malý applet, který spouští Javu nainstalovanou verzi a informuje o tom, zda potřebujete aktualizovat - vyžaduje tento úplný přístup k systému. To je naprosto šílené.

Jinými slovy, Java se skutečně vzdala sandboxu. Ve výchozím nastavení nelze spustit applet Java nebo jej spustit s plným přístupem k systému. Neexistuje žádný způsob, jak používat pískoviště, pokud nestíháte nastavení zabezpečení Java. Sandbox je tak nedůvěryhodný, že každý bit Java kódu, který narazíte online, potřebuje plný přístup do vašeho systému. Můžete také stahovat program Java a spustit jej spíše než spoléhat se na plug-in prohlížeče, který nenabízí dodatečné zabezpečení, které bylo původně navrženo tak, aby poskytovalo

Jak jeden vývojář Java vysvětlil: "Oracle záměrně zabíjí bezpečnostní karanténu Java pod záminkou zlepšení bezpečnosti."

Webové prohlížeče tuto funkci zakazují

Naštěstí webové prohlížeče vstoupí do opravy nečinnosti společnosti Oracle. I když máte nainstalovaný a povolený plug-in prohlížeče Java, Chrome a Firefox nebudou ve výchozím nastavení načítat obsah Java. Používají "obsah pro přehrávání" pro obsah Java.

Internet Explorer stále načítá obsah Java. Internet Explorer se poněkud zlepšil - v srpnu 2014 začal blokovat zastaralé a zranitelné ovládací prvky ActiveX společně s "Windows 8.1 August Update" (podobně jako Windows 8.1 Update 2). Chrome a Firefox to dělají mnohem déle . Internet Explorer je za ostatními prohlížeči - opět.

Jak zakázat Java Plug-in

Každý, kdo potřebuje nainstalovanou Java, by měl přinejmenším vypnout plug-in z ovládacího panelu java. S nejnovějšími verzemi Java můžete jednou klepnout na tlačítko Windows a otevřít nabídku Start nebo Start, zadejte "Java" a potom klepněte na zástupce "Konfigurovat Java". Na kartě Zabezpečení zrušte zaškrtnutí políčka "Povolit obsah Java v prohlížeči".

Dokonce i po vypnutí modulu plug-in se Minecraft a jiná aplikace pro stolní počítače, která závisí na jazyce Java, budou fungovat správně. Toto blokuje pouze Java applety vložené na webových stránkách.


Ano, applety Java stále existují ve volné přírodě. Pravděpodobně je najdete nejčastěji na interních stránkách, kde má nějaká firma starou aplikaci napsanou jako applet Java. Ale Java applety jsou mrtvou technologií a oni jsou mizí z spotřebitelského webu. Oni měli soutěžit s Flashem, ale ztratili. Dokonce i když potřebujete Javu, pravděpodobně nepotřebujete plug-in.

Příležitostná společnost nebo uživatel, který potřebuje plug-in prohlížeče Java, musí jít do Ovládacího panelu Java a zvolit ji. Plug-in by měl být považován za starší možnost kompatibility.


Jak získat upozornění Když je Caps Lock nebo Num Lock zapnuto v Ubuntu

Jak získat upozornění Když je Caps Lock nebo Num Lock zapnuto v Ubuntu

Pokud jste náhodou zapnuli Caps Lock příliš mnohokrát - všichni jsme tam byli - tady je řešení. K hornímu panelu můžete přidat indikátor, který zobrazuje stav tlačítek Caps Lock, Num Lock a Scroll Lock, které vás upozorní, když je stisknuto jedno z nich. SOUVISEJÍCÍ: Jak zakázat nebo znovu přiřadit Klávesa Caps Lock na libovolném operačním systému Jistě můžete vypnout nebo znovu přiřadit tlačítko Caps Lock, ale pokud jej používáte občas, je to další nejlepší věc.

(how-to)

Nabídka bezplatné aktualizace systému Windows 10 je konečně ukončena a Microsoft přestane obtěžovat uživatele systému Windows 7 a 8.1 s zavádějícími vyskakovacími okny upgradu. Systémy Windows 7 a 8.1 však nejsou hotové. Oba jsou solidní operační systémy, které bude Microsoft oficiálně podporovat v příštích letech.

Nabídka bezplatné aktualizace systému Windows 10 je konečně ukončena a Microsoft přestane obtěžovat uživatele systému Windows 7 a 8.1 s zavádějícími vyskakovacími okny upgradu. Systémy Windows 7 a 8.1 však nejsou hotové. Oba jsou solidní operační systémy, které bude Microsoft oficiálně podporovat v příštích letech.

Windows 7 a 8.1 obdrží aktualizace zabezpečení do roku 2020 a 2023 Uděláme něco: není jako termín systému Windows XP, kdy společnost Microsoft přestala podporovat systém Windows XP. Oba systémy Windows 7 a Windows 8.1 jsou stále podporovány společností Microsoft s aktualizací zabezpečení a budou proletět roky.

(how-to)