Oracle vet at situasjonen er en katastrofe. De har gitt opp på Java-pluginens sikkerhetssandkasse, opprinnelig designet for å beskytte deg mot ondsinnede Java-applets. Java-applets på nettet får full tilgang til systemet ditt med standardinnstillingene.
Java-nettleserpluggen er en komplett katastrofe
Forsvarere av Java pleier å klage når nettsteder som våre skriver at Java er ekstremt usikkert. "Det er bare nettleser-plugin-modulen," sier de - anerkjenner hvor ødelagt det er. Men den usikre nettleserpluggen er aktivert som standard i hver enkelt installasjon av Java der ute. Statistikken snakker for seg selv. Selv her på How-To Geek, har 95 prosent av våre ikke-mobile besøkende aktivert Java-plugin-modulen. Og vi er en nettside som forteller at leserne våre skal avinstallere Java eller i alle fall deaktivere plugin-modulen.
Internett-studier viser at de fleste datamaskiner med Java installert har en utdatert Java-nettleser-plugin tilgjengelig for ondsinnede nettsteder å ødelegge. I 2013 viste en undersøkelse fra Websense Security Labs at 80 prosent av datamaskiner hadde utdaterte, sårbare versjoner av Java. Selv de mest veldedige studiene er skummelt - de pleier å hevde at mer enn 50 prosent av Java-plugin-modulene er utdaterte.
I 2014 sa Cisco årlige sikkerhetsrapport at 91 prosent av alle angrepene i 2013 var mot Java. Oracle prøver å utnytte dette problemet ved å kombinere den forferdelige Ask Toolbar og annen junkware med Java-oppdateringer. Hold deg stilig, Oracle.
Oracle ga opp på Java Plug-in's Sandboxing
Java-plugin-modulen kjører et Java-program - eller "Java-applet" - innebygd på en nettside, som ligner på hvordan Adobe Flash fungerer. Fordi Java er et komplekst språk som brukes for alt fra desktopprogrammer til serverprogramvare, ble plugin-modulen opprinnelig utformet for å kjøre disse Java-programmene i en sikker sandkasse. Dette ville forhindre at de gjorde ekkel ting i systemet ditt, selv om de prøvde.
Det er altså teorien. I praksis er det en tilsynelatende uendelig strøm av sårbarheter som tillater Java-applets å unnslippe sandkassen og kjøre roughshod over systemet.
Oracle innser at sandkassen er i utgangspunktet ødelagt, så sandkassen er nå i utgangspunktet død. De har gitt opp på det. Som standard vil Java ikke lenger kjøre "usignerte" applets. Kjører usignerte applets bør ikke være et problem hvis sikkerhetssandboken var troverdig - derfor er det generelt ikke et problem å kjøre alt Adobe Flash-innhold du finner på nettet. Selv om det er sårbarheter i Flash, er de løst, og Adobe gir ikke opp på Flashs sandboxing.
“This application will run with unrestricted access which may put your computer and personal information at risk.”
Selv Oracle egen Java-versjon sjekk applet - en enkel liten applet som kjører Java for å sjekke din installerte versjon og forteller deg om du trenger å oppdatere - krever full tilgang til systemet. Det er helt vanvittig.
Som en Java-utvikler forklarte: "Oracle forsøker å drepe Java-sikkerhetssandboken under forutsetning for å forbedre sikkerheten."
Nettlesere deaktiverer det på egen hånd
Heldigvis går nettlesere inn for å rette opp Oracle's passivitet. Selv om du har installert og aktivert Java-nettleser-plugin-modulen, vil Chrome og Firefox ikke laste inn Java-innhold som standard. De bruker "klikk-til-spill" for Java-innhold.
Internet Explorer laster automatisk automatisk inn Java-innhold. Internet Explorer har forbedret seg noe - det begynte endelig å blokkere utdaterte, sårbare ActiveX-kontroller sammen med "Windows 8.1 August Update" (også Windows 8.1 Update 2) i august 2014. Chrome og Firefox har gjort dette mye lenger. Internet Explorer ligger bak andre nettlesere her - igjen.
Slik deaktiverer du Java Plug-in
Alle som trenger Java installert, bør i det minste deaktivere plugin-modulen fra java Kontrollpanel. Med nyere versjoner av Java kan du trykke på Windows-tasten en gang for å åpne Start-menyen eller Start-skjermbildet, skrive "Java", og deretter klikke "Konfigurer Java" -genveien. På fanen Sikkerhet fjerner du merket for "Aktiver Java-innhold i nettleseren".
Selv etter at du deaktiverer plugin-modulen, vil Minecraft og et annet skrivebordsprogram som er avhengig av Java, gå bra. Dette vil bare blokkere Java-applets som er innebygd på nettsider.
Ja, Java-applets eksisterer fortsatt i naturen. Du finner sannsynligvis dem mest på interne nettsteder der noen selskaper har en gammel applikasjon skrevet som en Java-applet. Men Java-applets er en død teknologi, og de forsvinner fra forbrukerweb. De skulle konkurrere med Flash, men de mistet. Selv om du trenger Java, trenger du sannsynligvis ikke plugin-modulen.
Det enkelte selskapet eller brukeren som trenger Java-nettleser-plugin-modulen, må gå inn i Java-kontrollpanelet og velge å aktivere det. Plug-in bør betraktes som et eldre kompatibilitetsalternativ.
