no.phhsnews.com


no.phhsnews.com / Oracle kan ikke sikre Java-plugin-modulen, så hvorfor er den fortsatt aktivert som standard?

Oracle kan ikke sikre Java-plugin-modulen, så hvorfor er den fortsatt aktivert som standard?


Java var ansvarlig for 91 prosent av alle datakompromisser i 2013. De fleste har ikke bare Java-nettleser-plugin-modulen er aktivert - de bruker en utdatert, sårbar versjon. Hei, Oracle - det er på tide å deaktivere denne plugin-modulen som standard.

Oracle vet at situasjonen er en katastrofe. De har gitt opp på Java-pluginens sikkerhetssandkasse, opprinnelig designet for å beskytte deg mot ondsinnede Java-applets. Java-applets på nettet får full tilgang til systemet ditt med standardinnstillingene.

Plug-in for Java-nettleseren er en komplett katastrofe

Forsvarere av Java pleier å klage når nettsteder som våre skriver at Java er ekstremt usikkert. "Det er bare nettleser-plugin-modulen," sier de - anerkjenner hvor ødelagt det er. Men den usikre nettleserpluggen er aktivert som standard i hver enkelt installasjon av Java der ute. Statistikken snakker for seg selv. Selv her på How-To Geek, har 95 prosent av våre ikke-mobile besøkende aktivert Java-plugin-modulen. Og vi er en nettside som forteller leserne våre å avinstallere Java eller i alle fall deaktivere plugin-modulen

Internett, studier viser fortsatt at de fleste datamaskiner med Java installert har en utdatert Java-nettleser Plug-in tilgjengelig for ondsinnede nettsteder for å ravage. I 2013 viste en undersøkelse fra Websense Security Labs at 80 prosent av datamaskiner hadde utdaterte, sårbare versjoner av Java. Selv de mest veldedige studiene er skummel - de pleier å hevde at mer enn 50 prosent av Java-plugin-modulene er utdaterte.

I 2014 ble Ciscos årlige sikkerhetsrapport oppgitt at 91 prosent av alle angrepene i 2013 var mot Java. Oracle prøver å utnytte dette problemet ved å kombinere den forferdelige Ask-verktøylinjen og annen junkware med Java-oppdateringer. Hold deg stilig, Oracle.

Oracle Gave Up på Java Plug-in Sandboxing

Java-plugin-modulen kjører en Java-program - eller "Java-applet" - innebygd på en nettside, ligner på hvordan Adobe Flash fungerer. Fordi Java er et komplekst språk som brukes for alt fra desktopprogrammer til serverprogramvare, ble plugin-modulen opprinnelig utformet for å kjøre disse Java-programmene i en sikker sandkasse. Dette ville forhindre at de gjorde ekkel ting i systemet ditt, selv om de prøvde.

Det er altså teorien. I praksis er det en tilsynelatende uendelig strøm av sårbarheter som tillater Java-applets å unnslippe sandkassen og kjøre roughshod over systemet.

Oracle innser at sandkassen er i utgangspunktet ødelagt, så sandkassen er nå i utgangspunktet død. De har gitt opp på det. Som standard vil Java ikke lenger kjøre "usignerte" applets. Kjører usignerte applets bør ikke være et problem hvis sikkerhetssandboken var troverdig - derfor er det generelt ikke et problem å kjøre alt Adobe Flash-innhold du finner på nettet. Selv om det er sårbarheter i Flash, er de løst, og Adobe gir ikke opp på Flashs sandboxing.

Som standard laster Java bare signerte applets. Det høres bra ut, som en god sikkerhetsforbedring. Det er imidlertid en alvorlig konsekvens her. Når en Java-applet er signert, anses den som "klarert" og den bruker ikke sandkassen. Som Javas advarselsmelding sier:

"Denne applikasjonen vil løpe med ubegrenset tilgang som kan sette din datamaskin og personlig informasjon i fare."

Selv Oracles egen Java-versjonskontrollapplet - en enkel liten applet som kjører Java for å sjekke Din installerte versjon og forteller deg om du trenger å oppdatere - krever full tilgang til systemet. Det er helt gal.

Med andre ord, har Java virkelig gitt opp på sandkassen. Som standard kan du heller ikke kjøre en Java-applet eller kjøre den med full tilgang til systemet. Det er ingen måte å bruke sandkassen med mindre du justerer Java-sikkerhetsinnstillingene. Sandkassen er så usikker på at alle Java-kodene du møter online trenger full tilgang til systemet ditt. Du kan også bare laste ned et Java-program og kjøre det i stedet for å stole på nettleser-plugin-modulen, som ikke gir den ekstra sikkerheten den opprinnelig ble laget for å gi.

Som en Java-utvikler forklarte: "Oracle forsøker å drepe Java-sikkerhetssandboken under forutsetning for å forbedre sikkerheten."

Weblesere deaktiverer det på egen hånd

Heldigvis går nettlesere inn for å rette opp Oracle's passivitet. Selv om du har installert og aktivert Java-nettleser-plugin-modulen, vil Chrome og Firefox ikke laste inn Java-innhold som standard. De bruker "klikk-til-spill" for Java-innhold.

Internet Explorer laster fortsatt automatisk Java-innhold. Internet Explorer har forbedret seg noe - det begynte endelig å blokkere utdaterte, sårbare ActiveX-kontroller sammen med "Windows 8.1 August Update" (også Windows 8.1 Update 2) i august 2014. Chrome og Firefox har gjort dette mye lenger . Internet Explorer ligger bak andre nettlesere her - igjen.

Slik deaktiverer du Java Plug-in

Alle som trenger Java installert, bør minst deaktivere plugin-modulen fra java Kontrollpanel. Med nyere versjoner av Java kan du trykke på Windows-tasten en gang for å åpne Start-menyen eller Start-skjermbildet, skrive "Java", og deretter klikke "Konfigurer Java" -genveien. På fanen Sikkerhet fjerner du merket for «Aktiver Java-innhold i nettleseren».

Selv etter at du deaktiverer plugin-modulen, vil Minecraft og et annet skrivebordsprogram som er avhengig av Java, gå bra. Dette vil bare blokkere Java-applets som er innebygd på websider.


Ja, Java-applets eksisterer fortsatt i naturen. Du finner sannsynligvis dem mest på interne nettsteder der noen selskaper har en gammel applikasjon skrevet som en Java-applet. Men Java-applets er en død teknologi, og de forsvinner fra forbrukerweb. De skulle konkurrere med Flash, men de mistet. Selv om du trenger Java, trenger du sannsynligvis ikke plugin-modulen.

Det enkelte selskapet eller brukeren som trenger Java-plugin-modulen, må gå inn i Java-kontrollpanelet og velge å aktivere det. Plug-in bør betraktes som et eldre kompatibilitetsalternativ.


Slik styrker du Windows for å vise alle diskene dine i File Explorer

Slik styrker du Windows for å vise alle diskene dine i File Explorer

Som standard skjuler Windows tomme stasjoner fra File Explorer-visningen. Her ser du hvordan alle skal vises i stedet. Empty stasjoner refererer hovedsakelig til stasjoner med flyttbare medier, for eksempel kortlesere, som er permanent koblet til datamaskinen din, men kanskje eller ikke har riktig media plugget inn.

(how-to)

Slik bruker du Bluetooth-hodetelefoner og høyttalere med Apple Watch (for å lytte til musikk)

Slik bruker du Bluetooth-hodetelefoner og høyttalere med Apple Watch (for å lytte til musikk)

Apple Watch er fullpakket med funksjoner som ikke er umiddelbart synlige ved første øyekast. Musikkappen på klokken umiddelbart (og intuitivt) styrer musikkappen på iPhone, men den kan også stå som sin egen Bluetooth-aktiverte iPod-lignende enhet. Les videre som vi viser deg hvordan du kobler den til Bluetooth-hodetelefoner og høyttalere.

(how-to)