Java var ansvarlig for 91 procent af alle computer kompromiser i 2013. De fleste har ikke kun Java-browser plug-in aktiveret - de bruger en uddateret, sårbar version. Hej, Oracle - det er på tide at deaktivere denne plugin som standard.
Oracle ved, at situationen er en katastrofe. De har givet op på Java-plugins sikkerhedssandkasse, der oprindeligt var designet til at beskytte dig mod ondsindede Java-applets. Java-applikationer på internettet får fuldstændig adgang til dit system med standardindstillingerne.
Forsvarere af Java har tendens til at klage, når websteder som vores skriver, at Java er ekstremt usikkert. "Det er bare browser plug-in," siger de - anerkender, hvor brudt det er. Men den usikre browser plug-in er aktiveret som standard i hver enkelt installation af Java derude. Statistikkerne taler for sig selv. Selv her på How-To Geek har 95 procent af vores ikke-mobile besøgende aktiveret Java-plug-in. Og vi er en hjemmeside, der fortæller vores læsere at afinstallere Java eller i det mindste deaktivere plug-in'en.
Internettet, studier viser fortsat, at de fleste computere med Java installeret har en forældet Java-browser plug-in til rådighed for ondsindede websteder til at hærge. I 2013 viste en undersøgelse fra Websense Security Labs, at 80 procent af computere havde forældede, sårbare versioner af Java. Selv de mest velgørende studier er skræmmende - de har tendens til at hævde, at mere end 50 procent af Java-plug-ins er forældede.
I 2014 sagde Ciscos årlige sikkerhedsrapport, at 91 procent af alle angreb i 2013 var mod Java. Oracle forsøger endda at udnytte dette problem ved at kombinere den forfærdelige Ask Toolbar og anden junkware med Java-opdateringer. Bliv klassisk, Oracle.
Java plug-in kører en Java-program - eller "Java-applet" - integreret på en webside, ligner hvordan Adobe Flash fungerer. Da Java er et komplekst sprog, der bruges til alt fra desktopprogrammer til serverprogrammer, blev pluginprogrammet oprindeligt designet til at køre disse Java-programmer i en sikker sandkasse. Dette ville forhindre dem i at gøre onde ting til dit system, selvom de forsøgte.
Det er alligevel teorien. I praksis er der en tilsyneladende uendelig strøm af sårbarheder, der tillader Java-applets at undslippe sandkassen og køre roughshod over dit system.
Oracle indser sandkassen er i det væsentlige brudt, så sandkassen er nu dybest set død. De har givet op på det. Som standard vil Java ikke længere køre "usignerede" applets. Kørsel af usignerede applets bør ikke være et problem, hvis sikkerhedssandkassen var troværdig - derfor er det generelt ikke et problem at køre ethvert Adobe Flash-indhold, du finder på internettet. Selvom der er sårbarheder i Flash, er de rettet, og Adobe giver ikke op på Flashs sandboxing.
Som standard indlæser Java kun underskrevne applets. Det lyder fint, som en god sikkerhedsforbedring. Der er dog en alvorlig konsekvens her. Når en Java-applet er underskrevet, betragtes den som "betroet", og den bruger ikke sandkassen. Som Java's advarselsmeddelelse sætter det:
"Denne applikation vil køre med ubegrænset adgang, som kan sætte din computer og personlige oplysninger i fare."
Selv Oracles egen Java-versionskontrolapplet - en simpel lille applet, der kører Java for at kontrollere din installerede version og fortæller dig, om du skal opdatere - kræver denne fuld systemadgang. Det er helt vanvittigt.
Med andre ord har Java virkelig givet op på sandkassen. Som standard kan du heller ikke køre en Java-applet eller køre den med fuld adgang til dit system. Der er ingen måde at bruge sandkassen på, medmindre du tilpasser Java's sikkerhedsindstillinger. Sandkassen er så utroværdig, at hver bit af Java-kode, du møder online, har fuld adgang til dit system. Du kan lige så godt downloade et Java-program og køre det frem for at stole på browser plug-in, som ikke giver den ekstra sikkerhed, det oprindeligt var designet til at levere.
Som en Java-udvikler forklarede: "Oracle forsætligt dræber Java-sikkerhedssandkassen under forudsætning af at forbedre sikkerheden."
Heldigvis går browsere ind for at rette op på Oracle's handling. Selvom du har plug-in til Java-browser installeret og aktiveret, vil Chrome og Firefox ikke indlæse Java-indhold som standard. De bruger "klik til afspilning" til Java-indhold.
Internet Explorer laster stadig automatisk Java-indhold. Internet Explorer er forbedret noget - det begyndte endelig at blokere forældede, sårbare ActiveX-kontroller sammen med "Windows 8.1 August Update" (også Windows 8.1 Update 2) i august 2014. Chrome og Firefox har gjort dette meget længere . Internet Explorer ligger bag andre browsere her - igen.
Alle, der har brug for Java installeret, skal i det mindste deaktivere plugin-modulet fra java-kontrolpanelet. Med nyere versioner af Java kan du trykke på Windows-tasten en gang for at åbne menuen Start eller Start, skrive "Java" og derefter klikke på "Konfigurer Java" genvej. På fanen Sikkerhed fjerner du afkrydsningsfeltet "Aktiver Java-indhold i browseren".
Selv efter at du deaktiverer plugin'et, vil Minecraft og ethvert andet desktopprogram, der afhænger af Java, køre helt fint. Dette vil kun blokere Java-applets integreret på websider.
Ja, Java-applets eksisterer stadig i det vilde. Du vil nok finde dem hyppigst på interne websteder, hvor nogle virksomheder har en gammel ansøgning skrevet som en Java-applet. Men Java-applets er en død teknologi, og de forsvinder fra forbrugerweben. De skulle konkurrere med Flash, men de tabte. Selvom du har brug for Java, behøver du sandsynligvis ikke plug-in'en.
Det lejlighedsvise firma eller bruger, der behøver Java-plugin-modulet, skal gå til Javas Kontrolpanel og vælge at aktivere det. Plugin-modulet skal betragtes som en alternativ til kompatibilitet.
Sådan tilsluttes Bluetooth-hovedtelefoner til dit Apple TV
Du behøver ikke lade en hovedtelefonledning gå i tværs over din stueetage: du kan nemt kombinere trådløse Bluetooth-hovedtelefoner med dit Apple TV. Hvorfor vil jeg gerne gøre dette? Mens de grunde, som nogen måske vil forbinde et par trådløse hovedtelefoner til deres tv, er varierede, er der generelt to primære grunde til, at du måske gør det.
Hvordan beskytter du adgangskode til en mappe på Linux / Unix uden kryptering?
Hvis du ikke har brug for eller vil kryptere filer på din computer, men gerne vil stoppe afslappet snooping, så hvad er Den bedste metode til adgangskode til beskyttelse af dine mapper på Linux / Unix? Dagens SuperUser Q & A-indlæg har nyttige svar på en nysgerrig læsers spørgsmål. Dagens Spørgsmål & Svar-sessions kommer til vores side med SuperUser-en underafdeling af Stack Exchange, en community-driven gruppe af Q & A-websteder.