da.phhsnews.com


da.phhsnews.com / Oracle kan ikke sikre Java-plugin'en, så hvorfor er den stadig aktiveret som standard?

Oracle kan ikke sikre Java-plugin'en, så hvorfor er den stadig aktiveret som standard?


Java var ansvarlig for 91 procent af alle computer kompromiser i 2013. De fleste har ikke kun Java-browser plug-in aktiveret - de bruger en uddateret, sårbar version. Hej, Oracle - det er på tide at deaktivere denne plugin som standard.

Oracle ved, at situationen er en katastrofe. De har givet op på Java-plugins sikkerhedssandkasse, der oprindeligt var designet til at beskytte dig mod ondsindede Java-applets. Java-applikationer på internettet får fuldstændig adgang til dit system med standardindstillingerne.

Java-browserenhedsprogrammet er en fuldstændig katastrofe

Forsvarere af Java har tendens til at klage, når websteder som vores skriver, at Java er ekstremt usikkert. "Det er bare browser plug-in," siger de - anerkender, hvor brudt det er. Men den usikre browser plug-in er aktiveret som standard i hver enkelt installation af Java derude. Statistikkerne taler for sig selv. Selv her på How-To Geek har 95 procent af vores ikke-mobile besøgende aktiveret Java-plug-in. Og vi er en hjemmeside, der fortæller vores læsere at afinstallere Java eller i det mindste deaktivere plug-in'en.

Internettet, studier viser fortsat, at de fleste computere med Java installeret har en forældet Java-browser plug-in til rådighed for ondsindede websteder til at hærge. I 2013 viste en undersøgelse fra Websense Security Labs, at 80 procent af computere havde forældede, sårbare versioner af Java. Selv de mest velgørende studier er skræmmende - de har tendens til at hævde, at mere end 50 procent af Java-plug-ins er forældede.

I 2014 sagde Ciscos årlige sikkerhedsrapport, at 91 procent af alle angreb i 2013 var mod Java. Oracle forsøger endda at udnytte dette problem ved at kombinere den forfærdelige Ask Toolbar og anden junkware med Java-opdateringer. Bliv klassisk, Oracle.

Oracle Gave Up på Java Plug-in Sandboxing

Java plug-in kører en Java-program - eller "Java-applet" - integreret på en webside, ligner hvordan Adobe Flash fungerer. Da Java er et komplekst sprog, der bruges til alt fra desktopprogrammer til serverprogrammer, blev pluginprogrammet oprindeligt designet til at køre disse Java-programmer i en sikker sandkasse. Dette ville forhindre dem i at gøre onde ting til dit system, selvom de forsøgte.

Det er alligevel teorien. I praksis er der en tilsyneladende uendelig strøm af sårbarheder, der tillader Java-applets at undslippe sandkassen og køre roughshod over dit system.

Oracle indser sandkassen er i det væsentlige brudt, så sandkassen er nu dybest set død. De har givet op på det. Som standard vil Java ikke længere køre "usignerede" applets. Kørsel af usignerede applets bør ikke være et problem, hvis sikkerhedssandkassen var troværdig - derfor er det generelt ikke et problem at køre ethvert Adobe Flash-indhold, du finder på internettet. Selvom der er sårbarheder i Flash, er de rettet, og Adobe giver ikke op på Flashs sandboxing.

Som standard indlæser Java kun underskrevne applets. Det lyder fint, som en god sikkerhedsforbedring. Der er dog en alvorlig konsekvens her. Når en Java-applet er underskrevet, betragtes den som "betroet", og den bruger ikke sandkassen. Som Java's advarselsmeddelelse sætter det:

"Denne applikation vil køre med ubegrænset adgang, som kan sætte din computer og personlige oplysninger i fare."

Selv Oracles egen Java-versionskontrolapplet - en simpel lille applet, der kører Java for at kontrollere din installerede version og fortæller dig, om du skal opdatere - kræver denne fuld systemadgang. Det er helt vanvittigt.

Med andre ord har Java virkelig givet op på sandkassen. Som standard kan du heller ikke køre en Java-applet eller køre den med fuld adgang til dit system. Der er ingen måde at bruge sandkassen på, medmindre du tilpasser Java's sikkerhedsindstillinger. Sandkassen er så utroværdig, at hver bit af Java-kode, du møder online, har fuld adgang til dit system. Du kan lige så godt downloade et Java-program og køre det frem for at stole på browser plug-in, som ikke giver den ekstra sikkerhed, det oprindeligt var designet til at levere.

Som en Java-udvikler forklarede: "Oracle forsætligt dræber Java-sikkerhedssandkassen under forudsætning af at forbedre sikkerheden."

Webbrowsere deaktiverer det på egen hånd

Heldigvis går browsere ind for at rette op på Oracle's handling. Selvom du har plug-in til Java-browser installeret og aktiveret, vil Chrome og Firefox ikke indlæse Java-indhold som standard. De bruger "klik til afspilning" til Java-indhold.

Internet Explorer laster stadig automatisk Java-indhold. Internet Explorer er forbedret noget - det begyndte endelig at blokere forældede, sårbare ActiveX-kontroller sammen med "Windows 8.1 August Update" (også Windows 8.1 Update 2) i august 2014. Chrome og Firefox har gjort dette meget længere . Internet Explorer ligger bag andre browsere her - igen.

Sådan deaktiveres Java-plugin'en

Alle, der har brug for Java installeret, skal i det mindste deaktivere plugin-modulet fra java-kontrolpanelet. Med nyere versioner af Java kan du trykke på Windows-tasten en gang for at åbne menuen Start eller Start, skrive "Java" og derefter klikke på "Konfigurer Java" genvej. På fanen Sikkerhed fjerner du afkrydsningsfeltet "Aktiver Java-indhold i browseren".

Selv efter at du deaktiverer plugin'et, vil Minecraft og ethvert andet desktopprogram, der afhænger af Java, køre helt fint. Dette vil kun blokere Java-applets integreret på websider.


Ja, Java-applets eksisterer stadig i det vilde. Du vil nok finde dem hyppigst på interne websteder, hvor nogle virksomheder har en gammel ansøgning skrevet som en Java-applet. Men Java-applets er en død teknologi, og de forsvinder fra forbrugerweben. De skulle konkurrere med Flash, men de tabte. Selvom du har brug for Java, behøver du sandsynligvis ikke plug-in'en.

Det lejlighedsvise firma eller bruger, der behøver Java-plugin-modulet, skal gå til Javas Kontrolpanel og vælge at aktivere det. Plugin-modulet skal betragtes som en alternativ til kompatibilitet.


Sådan synkroniseres din Google Kalender med Outlook

Sådan synkroniseres din Google Kalender med Outlook

Hvis du bruger Google Kalender, men også bruger Outlook til kalenderelementer samt email og kontakter, kan du måske søge en måde at holde de to Kalender i synkronisering. Stop med at lede. Vi viser dig hvordan du gør dette ved hjælp af et gratis værktøj. I denne artikel synkroniserer vi indlæg i en Google Kalender med vores Outlook-kalender, så Google Kalender bliver kilden, og Outlook-kalenderen bliver målet.

(how-to)

Sådan tvinger du Afslut en app på Apple Watch

Sådan tvinger du Afslut en app på Apple Watch

Hvis en app på din Apple Watch holder op med at reagere, eller hvis du bare vil afslutte en app, kan du tvinge appen til at Afslut i stedet for at genstarte hele uret. Fremgangsmåden er ret simpel. Mens du er i den app, du vil stoppe, skal du trykke på og holde sideknappen nede. Skærmen eller strømmen af ​​uret vises.

(how-to)