Oracle无法保护Java插件,为什么默认情况下仍然启用它?

this-is-your-computer-on-java

Java在2013年负责所有计算机损害的91%。大多数人不仅启用了Java浏览器插件 - 他们使用的是过时的,易受攻击的版本。 嘿,Oracle - 是时候默认禁用该插件。

Oracle知道情况是一场灾难。 他们放弃了Java插件的安全沙箱,最初旨在保护您免受恶意Java小程序的攻击。 Web上的Java小应用程序使用默认设置完全访问您的系统。

Java浏览器插件是一个完整的灾难

Java的守护者往往抱怨每当像我们这样的网站写的Java是非常不安全。 “这只是浏览器插件,”他们说 - 承认它是多么破碎。 但是不安全的浏览器插件在默认情况下在每次安装Java时都会启用。 统计数字本身。 即使在How-To Geek,我们95%的非移动访问者都启用了Java插件。 我们是一个网站,一直告诉我们的读者卸载的Java至少禁用插件

在互联网上,研究不断显示大多数安装了Java的计算机都有一个过时的Java浏览器插件,可供恶意网站肆虐。 在2013年,一个由Websense安全实验室的研究表明,80%的电脑出过过期,爪哇的容易受攻击版本。 即使是最慈善的研究也是可怕的 - 他们倾向于声称超过50%的Java插件已过期。

2014年, 思科年度安全报告称,2013年所有攻击的91%的人反对的Java。 甲骨文甚至试图通过捆绑趁这个问题的可怕Ask工具栏和其他junkware与Java更新-保持优雅,甲骨文。

oracle-2014-annual-security-report-91%-java-compromises

Oracle Gave Up在Java Plug-in的Sandboxing上

Java插件运行嵌入在网页上的Java程序或“Java小程序”,类似于Adobe Flash的工作原理。 因为Java是用于一切从桌面应用程序服务器软件的一个复杂的语言,插件最初被设计为运行这些Java程序安全沙箱 这将防止他们对你的系统做坏事,即使他们尝试。

这是理论,反正。 在实践中,有一个似乎永无止境的漏洞流,允许Java小程序逃离沙盒并在系统上运行粗糙。

Oracle意识到沙箱现在基本上是折断的,所以沙盒现在基本上死了。 他们放弃了。 默认情况下,Java将不再运行“unsigned”applet。 运行未签名的applet不应该是一个问题,如果安全沙箱是可信的 - 这就是为什么运行您在网络上找到的任何Adobe Flash内容通常不是一个问题。 即使Flash中存在漏洞,它们也是固定的,Adobe不会放弃Flash的沙箱。

java-wont-run-unsigned-applets

默认情况下,Java只加载签名的applet。 这听起来不错,像一个好的安全改进。 但是,这里有一个严重的后果。 当Java applet被签名时,它被认为是“受信任的”,并且不使用沙箱。 正如Java的警告消息所说:

“此应用程序将运行无限制访问,这可能会使您的计算机和个人信息的风险。

甚至Oracle自己的Java版本检查applet - 一个简单的小applet,运行Java来检查您安装的版本,并告诉你是否需要更新 - 需要这个完整的系统访问。 这是完全疯了。

the-java-browser-plug-in-sandbox-is-dead

换句话说,Java真的放弃了沙箱。 默认情况下,您可以不运行Java Applet或运行它具有对系统的完全访问权限。 除非你调整Java的安全设置,否则没有办法使用沙箱。 沙箱是如此不可信,每一个在线的Java代码都需要完全访问您的系统。 您可能只需下载Java程序并运行它,而不是依赖浏览器插件,这不提供最初设计提供的额外的安全性。

作为一个Java开发人员解释说 :“甲骨文是故意提高安全性的幌子杀害了Java安全沙箱”。

Web浏览器自己禁用它

幸运的是,Web浏览器正在努力解决Oracle的无效性。 即使您安装并启用了Java浏览器插件,Chrome和Firefox也不会默认加载Java内容。 他们使用“点击播放”的Java内容。

Internet Explorer仍然自动加载Java内容。 Internet Explorer已经有所改善-它终于开始挡住了过期的,易受攻击的ActiveX的控制沿“的Windows 8.1八月修订”(又名的Windows 8.1更新2)在八月,2014年Chrome和Firefox已更长的时间这样做。 Internet Explorer在这里的其他浏览器 - 再次。

java-click-to-play-by-default-in-chrome

如何禁用Java插件

每个需要Java安装的人都应该至少禁用从java控制面板中的插件。 使用最新版本的Java,您可以点击Windows键一次打开开始菜单或开始屏幕,键入“Java”,然后单击“配置Java”快捷方式。 在安全选项卡上,取消选中“在浏览器中启用Java内容”选项。

禁用插件即使, 我的世界 ,并依赖于Java的任何其他桌面应用程序将运行得很好。 这将只阻止嵌入在网页上的Java applet。

disable-java-browser-plug-in-in-java-control-panel


是的,Java applet仍然存在于野外。 你可能会经常在内部网站上找到它们,有些公司有一个古老的应用程序,被写为Java小程序。 但Java小程序是一种死的技术,他们从消费者网络消失。 他们应该与Flash竞争,但他们失去了。 即使你需要Java,你可能不需要插件。

偶尔需要Java浏览器插件的公司或用户必须进入Java的控制面板并选择启用它。 插件应被视为旧版兼容性选项。

赞 (0)
分享到:更多 ()