Oracle, Java Eklentisini Sabitleyemiyor, Öyleyse Neden Varsayılan Olarak Hala Etkinleştiriliyor?
Java, 2013'teki tüm bilgisayar ödünlerin yüzde 91'inden sorumluydu. Çoğu kişi yalnızca Java tarayıcısı eklentisinin etkin olduğunu değil, eski ve savunmasız bir sürümü kullanıyorlar. Hey, Oracle - bu eklentiyi varsayılan olarak devre dışı bırakmanın zamanı geldi.
Oracle, durumun bir felaket olduğunu biliyor. Başlangıçta sizi kötü amaçlı Java uygulamalarından korumak için tasarlanmış Java eklentisinin güvenlik sanal alanından vazgeçtiler. Web üzerindeki Java uygulamaları, varsayılan ayarlarla sisteminize tam erişim sağlar.
Java Tarayıcı Eklentisi Tamamlandı
Java savunucuları, bizim gibi siteler Java'nın aşırı derecede güvensiz olduğunu yazdığında şikayet etme eğilimindedir. “Bu sadece tarayıcı eklentisi” diyorlar - ne kadar kırıldığını kabul ediyorlar. Ancak bu güvenli olmayan tarayıcı eklentisi, Java'nın her kurulumunda varsayılan olarak etkindir. İstatistikler kendileri için konuşuyor. Burada bile Nasıl Yapılır Geek'te, mobil olmayan ziyaretçilerimizin yüzde 95'i Java eklentisini etkinleştirdi. Ve okuyucularımıza Java'yı kaldırmalarını veya en azından eklentiyi devre dışı bırakmalarını söyleyen bir web sitesiyiz..
İnternet genelinde yapılan çalışmalar, Java yüklü bilgisayarların çoğunun kötü amaçlı web sitelerinin zarar görmesi için güncel olmayan bir Java tarayıcısı eklentisine sahip olduğunu göstermektedir. 2013 yılında, Websense Security Labs tarafından yapılan bir araştırmada, bilgisayarların yüzde 80'inin eski ve savunmasız Java sürümleri olduğunu gösterdi. En hayırsever çalışmalar bile korkutucu - Java eklentilerinin yüzde 50'sinden fazlasının güncel olmadığını iddia ediyor.
2014 yılında, Cisco'nun yıllık güvenlik raporu, 2013'teki tüm saldırıların yüzde 91'inin Java'ya karşı olduğunu söyledi. Hatta Oracle, korkunç Ask Toolbar ve diğer önemsiz yazılımları Java güncellemeleriyle bir araya getirerek bu problemden faydalanmaya çalışıyor - şık, Oracle.
Oracle, Java Eklentisinin Sandbox'unu Geliştirdi
Java eklentisi, Adobe Flash'ın nasıl çalıştığına benzer şekilde bir web sayfasına katıştırılmış bir Java programını (veya “Java uygulamasını”) çalıştırır. Java, masaüstü uygulamalarından sunucu yazılımına kadar her şey için kullanılan karmaşık bir dil olduğundan, eklenti başlangıçta bu Java programlarını güvenli bir sanal alanda çalıştırmak için tasarlanmıştır. Bu, denemiş olsalar bile sisteminize kötü şeyler yapmalarını önlerdi..
Neyse, teori bu. Uygulamada, Java uygulamalarının sanal alandan çıkmasına ve sisteminizde kabadayı koşmasına izin veren görünüşte bitmeyen bir güvenlik açığı akışı var.
Oracle, sanal alanın temelde kırıldığını fark eder, bu yüzden sanal alan artık ölüdür. Ondan vazgeçmişler. Varsayılan olarak, Java artık “imzasız” uygulamaları çalıştırmayacaktır. Güvenlik sanal alanı güvenilir ise, imzasız uygulamaları çalıştırmak bir sorun olmamalıdır - bu nedenle web'de bulduğunuz Adobe Flash içeriğini çalıştırmak genellikle bir sorun değildir. Flash'ta güvenlik açıkları olsa bile, düzeltildiler ve Adobe Flash'ın sanal alanından vazgeçmiyor.
Varsayılan olarak, Java yalnızca imzalı uygulamaları yükleyecektir. Kulağa hoş geliyor, iyi bir güvenlik iyileştirmesi gibi. Ancak, burada ciddi bir sonuç var. Bir Java uygulaması imzalandığında, “güvenilir” olarak kabul edilir ve sanal alanı kullanmaz. Java'nın uyarı mesajı belirttiği gibi:
“Bu uygulama, bilgisayarınızı ve kişisel bilgilerinizi riske sokan sınırsız erişim ile çalışacaktır.”
Hatta Oracle'ın kendi Java sürümü kontrol uygulaması - yüklü sürümünüzü kontrol etmek için Java çalıştıran ve güncellemeniz gerekip gerekmediğini size bildiren küçük bir uygulama - bu tam sistem erişimini gerektirir. Bu tamamen delilik.
Başka bir deyişle, Java gerçekten sanal alandan vazgeçti. Varsayılan olarak, bir Java uygulamasını çalıştıramaz veya sisteminize tam erişimle çalıştıramazsınız. Java'nın güvenlik ayarlarını değiştirmediyseniz, sanal alanı kullanmanın bir yolu yoktur. Sanal alan o kadar güvenilmez ki, çevrimiçi karşılaştığınız her Java kodu bit sisteminize tam erişime ihtiyaç duyar. Ayrıca, bir Java programını indirebilir ve tarayıcı eklentisine güvenmek yerine, çalıştırmak için tasarlanan ek güvenliği sağlamayan bir programı çalıştırabilirsiniz..
Bir Java geliştiricisinin açıkladığı gibi: “Oracle, güvenliği arttırma iddiası altında Java güvenlik sanal alanını kasten öldürüyor” dedi.
Web Tarayıcıları Kendi Başına Devre Dışı Bırakıyor
Neyse ki, web tarayıcıları Oracle'ın eylemsizliğini gidermek için devreye giriyor. Java tarayıcısı eklentisi yüklü ve etkin olsa bile, Chrome ve Firefox varsayılan olarak Java içeriğini yüklemez. Java içeriği için “tıkla oynat” kullanıyorlar.
Internet Explorer hala Java içeriğini otomatik olarak yükler. Internet Explorer biraz daha gelişti - nihayet Ağustos 2014’te “Windows 8.1 Ağustos Güncellemesi” (aka Windows 8.1 Güncelleme 2) ile birlikte eski, savunmasız ActiveX denetimlerini engellemeye başladı. . Internet Explorer burada diğer tarayıcıların arkasında - tekrar.
Java Eklentisini Devre Dışı Bırakma
Java'nın yüklü olması gereken herkes, eklentiyi java Denetim Masası'ndan devre dışı bırakmalıdır. Java'nın son sürümleriyle, Başlat menüsünü veya Başlat ekranını açmak için bir kez Windows tuşuna dokunup, "Java" yazıp "Java'yı Yapılandır" kısayolunu tıklayabilirsiniz. Güvenlik sekmesinde, "Tarayıcıda Java içeriğini etkinleştir" seçeneğinin işaretini kaldırın..
Eklentiyi devre dışı bıraktıktan sonra bile, Minecraft ve Java'ya bağlı olan herhangi bir masaüstü uygulaması gayet iyi çalışır. Bu, yalnızca web sayfalarına gömülü Java uygulamalarını engeller.
Evet, Java uygulamaları vahşi doğada hala var. Bunları muhtemelen en sık olarak bazı firmaların Java uygulaması olarak yazılmış eski bir uygulamanın bulunduğu dahili sitelerde bulacaksınız. Ancak Java uygulamaları ölü bir teknolojidir ve tüketici ağından kaybolurlar. Flash ile rekabet etmeleri gerekiyordu ama kaybettiler. Java'ya ihtiyacınız olsa bile, muhtemelen eklentiye ihtiyacınız yoktur..
Java tarayıcısı eklentisine ihtiyaç duyan şirket veya kullanıcı Java'nın Denetim Masası'na girmeli ve etkinleştirmeyi seçmelidir. Eklenti, eski bir uyumluluk seçeneği olarak düşünülmeli.