Java vastasi 91 prosenttia kaikista tietokoneen kompromisseista vuonna 2013. Useimmilla ihmisillä on käytössä vain Java-selaimen laajennus - he käyttävät vanhentunutta, haavoittuvaa versiota. Hei, Oracle - on aika poistaa kyseinen laajennus oletuksena.
Oracle tietää, että tilanne on katastrofi. He ovat luopuneet Java-laajennuksen turva-hiekkalaatikosta, joka on alunperin suunniteltu suojaamaan sinulta haitallisilta Java-sovelmilta. Java-sovellukset verkossa saavat täydellisen pääsyn järjestelmään oletusasetuksilla.
Java-puolustajat valittavat aina, kun meidän kaltaiset sivustot kirjoittavat, että Java on erittäin epävakaa. "Se on vain selaimen laajennus", he sanovat - tunnustaen, kuinka rikki se on. Mutta tämä epävarma selaimen laajennus on oletusarvoisesti käytössä jokaisessa Java-asennuksessa. Tilastot puhuvat puolestaan. Myös tässä How-To Geekissä 95 prosenttia ei-mobiililaitteillemme on Java-plug-in käytössä. Ja olemme verkkosivusto, joka kertoo lukijoillemme Java-ohjelman poistamisen tai ainakin estää plug-inin.
Internetin laajuiset tutkimukset osoittavat, että suurin osa Java-asennetuista tietokoneista on vanhentuneita Java-selaimen laajennuksia, jotka ovat käytettävissä haitallisten sivustojen tuhoamiseksi. Vuonna 2013 Websense Security Labsin tutkimus osoitti, että 80 prosenttia tietokoneista oli vanhentuneita ja haavoittuvia Java-versioita. Jopa hyväntekeväisyystutkimukset ovat pelottavia - heillä on tapana väittää, että yli 50 prosenttia Java-laajennuksista on vanhentuneita.
Vuonna 2014 Ciscon vuotuisen turvallisuusselvityksen mukaan 91 prosenttia kaikista vuonna 2013 tehdyistä hyökkäyksistä oli Javaa vastaan. Oracle jopa yrittää hyödyntää tätä ongelmaa niputtamalla kauhea Ask Toolbar ja muut junkware Java-päivitykset - pysy tyylikäs, Oracle.
Java-plug-in käyttää Java-ohjelmaa - tai "Java-appletti" - upotettuna web-sivulle, kuten Adobe Flash toimii. Koska Java on monimutkainen kieli, jota käytetään kaikessa työpöytäsovelluksista palvelinohjelmistoihin, plug-in suunniteltiin alunperin näiden Java-ohjelmien suorittamiseen suojatussa hiekkalaatikossa. Tämä estäisi heitä tekemästä ikäviä asioita järjestelmäänne, vaikka he yrittäisivät.
Se on kuitenkin teoria. Käytännössä on näennäisesti loputtomasti virhettä haavoittuvuuksia, jotka mahdollistavat Java-sovelmien pääsyn hiekkalaatikkoon ja suorittavat karkean hiukan järjestelmääsi.
Oracle ymmärtää, että hiekkalaatikko on nyt hajonnut, joten hiekkalaatikko on nyt pohjimmiltaan kuollut. He ovat luopuneet siitä. Oletusarvoisesti Java ei enää avaa "allekirjoittamattomia" appletteja. Suorittamattomien applettien suorittaminen ei saisi olla ongelma, jos suojapaketti on luotettava - siksi verkossa ei ole yleensä mitään ongelmia, joiden avulla voit käyttää mitään Adobe Flash-sisältöä. Vaikka Flashissa on haavoittuvuuksia, ne ovat kiinteät ja Adobe ei luovu Flashin hiekkalaatikoista.
Oletusarvoisesti Java lataa vain allekirjoitettuja sovelluksia. Se kuulostaa hyvältä, kuten hyvä turvallisuuden parantaminen. Siitä on kuitenkin vakava seuraus. Kun Java-appletti on allekirjoitettu, sitä pidetään luotettavana eikä se käytä hiekkalaatikkoa. Kuten Java-varoitussanoma kertoo:
"Tämä sovellus ajetaan rajoittamattomalla pääsyllä, joka voi vaarantaa tietokoneesi ja henkilökohtaiset tietosi."
Jopa Oraclein omalla Java-version tarkistussovelluksella - yksinkertaisella pienellä appletilla, joka suorittaa Java-ohjelman tarkistettavaksi asennetusta versiosta ja kertoo, onko sinun päivitettävä - vaatii tämän järjestelmän koko käyttöoikeuden. Se on täysin hullua.
Toisin sanoen Java on todella luopunut hiekkalaatikosta. Oletusarvoisesti et voi suorittaa Java-appletia tai käyttää sitä täydellä järjestelmällä. Hiekkalaatikkoa ei voi käyttää, ellei sinun Java-suojausasetuksia muuteta. Hiekkalaatikko on niin epäluuloinen, että jokainen Java-koodi, jota kohtaat verkossa, tarvitsee täyden pääsyn järjestelmään. Voit myös ladata Java-ohjelman ja käyttää sitä sen sijaan, että luotettaisiin selaimen laajennukseen, joka ei tarjoa lisäturvaa, jonka alunperin se on suunniteltu tarjoamaan.
Yksi Java-kehittäjä selitti: "Oracle on tahallaan tappanut Java-tietoturva-hiekkalaatikon turvallisuuden parantamisen takia."
Onneksi verkkoselaimet ovat siirtymässä korjaamaan Oraclen toimimattomuus. Vaikka sinulla on Java-selainpaketti asennettuna ja käytössä, Chrome ja Firefox eivät lataa Java-sisältöä oletusarvoisesti. He käyttävät "click-to-play" Java-sisältöä.
Internet Explorer lataa Java-sisällön automaattisesti. Internet Explorer on parantunut jonkin verran - se vihdoin alkoi estää vanhentuneita, haavoittuvia ActiveX-komponentteja elokuussa 2014 julkaistun "Windows 8.1 August Update" -ohjelman (kuten Windows 8.1 Update 2) kanssa. Chrome ja Firefox ovat tehneet tämän paljon kauemmin . Internet Explorer on muiden selainten taakse - jälleen.
Kaikki, jotka tarvitsevat Java-asennuksen, pitäisi ainakin poistaa plug-in java-ohjauspaneelista. Uusimpien Java-versioiden avulla voit napauttaa Windows-näppäintä kerran avaamalla Käynnistä-valikon tai Käynnistä-näytön, kirjoittamalla "Java" ja valitsemalla sitten "Määritä Java" -pikakuvake. Poista Suojaus-välilehdeltä Ota Java-sisältö käyttöön selaimessa -vaihtoehto.
Jopa laajennuksen poistamisen jälkeen Minecraft ja muut Java-sovellukseen perustuvat työpöytäohjelmat toimivat hyvin. Tämä estää vain Java-sovellukset, jotka on upotettu verkkosivuille.
Kyllä, Java-sovelluksia on vielä olemassa luonnossa. Tulet todennäköisesti löytämään ne useimmiten sisäisillä sivustoilla, joilla jotkut yritykset ovat vanha sovellus, joka on kirjoitettu Java-sovelmaksi. Mutta Java-sovelmat ovat kuollut tekniikka, ja ne ovat kadonneet kuluttajien verkosta. Heidän piti kilpailla Flashin kanssa, mutta he menettivät.Vaikka tarvitset Javaa, et todennäköisesti tarvitse laajennusta.
Ajoittainen yritys tai käyttäjä, joka tarvitsee Java-selaimen laajennuksen, pitäisi mennä Java-ohjauspaneeliin ja valita sen ottamaan sen käyttöön. Plug-inia on pidettävä vanha yhteensopivuusvaihtoehto.
