Oracle ไม่สามารถรักษาความปลอดภัยปลั๊กอิน Java ดังนั้นทำไมจึงยังเปิดใช้งานโดยค่าเริ่มต้น
Java รับผิดชอบต่อร้อยละ 91 ของการประนีประนอมคอมพิวเตอร์ทั้งหมดในปี 2556 คนส่วนใหญ่ไม่เพียง แต่เปิดใช้งานปลั๊กอินของเบราว์เซอร์ Java เท่านั้นพวกเขากำลังใช้เวอร์ชันที่ล้าสมัยและมีความเสี่ยง สวัสดี Oracle - ถึงเวลาปิดการใช้งานปลั๊กอินนั้นตามค่าเริ่มต้น.
Oracle รู้ว่าสถานการณ์เป็นหายนะ พวกเขาเลิกใช้งานแซนด์บ็อกซ์การรักษาความปลอดภัยของปลั๊กอิน Java ซึ่ง แต่เดิมออกแบบมาเพื่อปกป้องคุณจากแอปเพล็ต Java ที่เป็นอันตราย Java applets บนเว็บสามารถเข้าถึงระบบของคุณได้อย่างสมบูรณ์ด้วยการตั้งค่าเริ่มต้น.
Java Browser Plug-in เป็นภัยพิบัติที่สมบูรณ์
ผู้ปกป้องของ Java มักจะบ่นเมื่อใดก็ตามที่ไซต์เช่นของเราเขียนว่า Java นั้นไม่ปลอดภัยอย่างยิ่ง “ นั่นเป็นเพียงปลั๊กอินของเบราว์เซอร์” พวกเขากล่าว - ยอมรับว่ามันพังได้อย่างไร แต่ปลั๊กอินเบราว์เซอร์ที่ไม่ปลอดภัยนั้นจะเปิดใช้งานตามค่าเริ่มต้นในการติดตั้ง Java ทุกครั้ง สถิติพูดเพื่อตัวเอง แม้ที่นี่ที่ How-To Geek ผู้เข้าชมที่ไม่ใช่มือถือ 95% ของเรายังเปิดใช้งานปลั๊กอิน Java และเราเป็นเว็บไซต์ที่แจ้งให้ผู้อ่านของเราถอนการติดตั้ง Java หรืออย่างน้อยก็ปิดการใช้งานปลั๊กอิน.
จากการศึกษาทางอินเทอร์เน็ตพบว่าคอมพิวเตอร์ส่วนใหญ่ที่ติดตั้ง Java นั้นมีปลั๊กอินของเบราว์เซอร์ Java ที่ล้าสมัยพร้อมใช้งานสำหรับเว็บไซต์ที่เป็นอันตรายที่จะทำลายล้าง ในปี 2013 การศึกษาโดย Websense Security Labs แสดงให้เห็นว่าคอมพิวเตอร์ 80 เปอร์เซ็นต์มีจาวารุ่นที่ล้าสมัยและมีช่องโหว่ แม้แต่การศึกษาเพื่อการกุศลส่วนใหญ่ก็น่ากลัว - พวกเขามักจะอ้างว่ามากกว่าร้อยละ 50 ของปลั๊กอิน Java นั้นล้าสมัย.
ในปี 2557 รายงานความปลอดภัยประจำปีของซิสโก้กล่าวว่าร้อยละ 91 ของการโจมตีทั้งหมดในปี 2556 เทียบกับจาวา Oracle ยังพยายามใช้ประโยชน์จากปัญหานี้ด้วยการรวม Ask Toolbar ที่น่ากลัวและขยะอื่น ๆ ที่มีการอัพเดท Java ไว้ให้อยู่ในระดับที่ยอดเยี่ยม Oracle.
Oracle Gave Up บน Sandboxing ของ Java Plug-in
ปลั๊กอิน Java รันโปรแกรม Java - หรือ“ Java applet” - ฝังอยู่บนหน้าเว็บคล้ายกับวิธีการทำงานของ Adobe Flash เนื่องจาก Java เป็นภาษาที่ซับซ้อนที่ใช้สำหรับทุกอย่างตั้งแต่แอปพลิเคชันเดสก์ท็อปไปจนถึงซอฟต์แวร์เซิร์ฟเวอร์ปลั๊กอินจึงถูกออกแบบมาเพื่อรันโปรแกรม Java เหล่านี้ในแซนด์บ็อกซ์ที่ปลอดภัย สิ่งนี้จะป้องกันไม่ให้พวกเขาทำสิ่งที่น่ารังเกียจให้กับระบบของคุณแม้ว่าพวกเขาจะพยายาม.
นั่นคือทฤษฎีอย่างไรก็ตาม ในทางปฏิบัติมีช่องโหว่ที่ดูเหมือนไม่มีที่สิ้นสุดซึ่งอนุญาตให้แอปเพล็ต Java หนีแซนด์บ็อกซ์และเรียกใช้คร่าวๆผ่านระบบของคุณ.
ออราเคิลตระหนักดีว่า Sandbox เสียโดยทั่วไปแล้วดังนั้นตอนนี้ Sandbox ก็ตายไปแล้ว พวกเขายอมแพ้ต่อมัน ตามค่าเริ่มต้น Java จะไม่เรียกใช้แอปเพล็ต“ ที่ไม่ได้ลงชื่อ” อีกต่อไป การรันแอปเพล็ตที่ไม่ได้ลงชื่อไม่น่าจะมีปัญหาหากกล่องความปลอดภัยเชื่อถือได้ - นั่นเป็นสาเหตุที่โดยทั่วไปแล้วไม่มีปัญหาในการเรียกใช้เนื้อหา Adobe Flash ใด ๆ ที่คุณพบบนเว็บ แม้ว่าจะมีช่องโหว่ใน Flash แต่ก็มีการแก้ไขและ Adobe ไม่ยอมแพ้ในการทดลองใช้แฟลชของ Flash.
ตามค่าเริ่มต้น Java จะโหลดแอปเพล็ตที่ลงนามแล้วเท่านั้น ฟังดูดีเหมือนการปรับปรุงความปลอดภัยที่ดี อย่างไรก็ตามมีผลร้ายแรงที่นี่ เมื่อลงชื่อแอปเพล็ต Java จะถือว่า“ เชื่อถือได้” และจะไม่ใช้แซนด์บ็อกซ์ ในขณะที่ข้อความเตือนของจาวาทำให้:
“ แอปพลิเคชันนี้จะทำงานด้วยการเข้าถึงแบบไม่ จำกัด ซึ่งอาจทำให้คอมพิวเตอร์และข้อมูลส่วนบุคคลของคุณตกอยู่ในความเสี่ยง”
แม้แต่แอปเพล็ตตรวจสอบเวอร์ชัน Java ของ Oracle - แอปเพล็ตตัวเล็ก ๆ ที่เรียกใช้ Java เพื่อตรวจสอบเวอร์ชันที่ติดตั้งของคุณและบอกคุณว่าคุณจำเป็นต้องอัปเดตหรือไม่จำเป็นต้องมีการเข้าถึงระบบทั้งหมด นั่นเป็นบ้า.
กล่าวอีกนัยหนึ่ง Java เลิกใช้งานจริงบนกล่องทราย โดยค่าเริ่มต้นคุณไม่สามารถเรียกใช้ Java applet หรือเรียกใช้ด้วยการเข้าถึงระบบของคุณอย่างสมบูรณ์ ไม่มีวิธีใช้กล่องทรายเว้นแต่ว่าคุณจะปรับการตั้งค่าความปลอดภัยของ Java แซนด์บ็อกซ์นั้นไม่น่าเชื่อถือดังนั้นรหัส Java ทุกบิตที่คุณพบทางออนไลน์จำเป็นต้องเข้าถึงระบบของคุณอย่างสมบูรณ์ คุณอาจเพียงแค่ดาวน์โหลดโปรแกรม Java และรันแทนที่จะใช้ปลั๊กอินของเบราว์เซอร์ซึ่งไม่ได้ให้การรักษาความปลอดภัยเพิ่มเติมที่ได้รับการออกแบบมาเพื่อให้เริ่มต้น.
ดังที่ผู้พัฒนา Java รายหนึ่งอธิบายว่า:“ Oracle มีเจตนาทำลายแซนด์บ็อกซ์ความปลอดภัยของ Java ภายใต้ข้ออ้างในการปรับปรุงความปลอดภัย”
เว็บเบราว์เซอร์กำลังปิดการใช้งานด้วยตนเอง
โชคดีที่เว็บเบราว์เซอร์กำลังก้าวเข้ามาเพื่อแก้ไขความเฉื่อยชาของออราเคิล แม้ว่าคุณจะมีการติดตั้งและเปิดใช้งานปลั๊กอินของเบราว์เซอร์ Java แต่ Chrome และ Firefox จะไม่โหลดเนื้อหา Java ตามค่าเริ่มต้น พวกเขาใช้“ คลิกเพื่อเล่น” สำหรับเนื้อหา Java.
Internet Explorer ยังคงโหลดเนื้อหา Java โดยอัตโนมัติ Internet Explorer ได้รับการปรับปรุงบ้าง - ในที่สุดก็เริ่มปิดกั้นการควบคุม ActiveX ที่ล้าสมัยและมีความเสี่ยงพร้อมกับ“ Windows 8.1 August Update” (หรือที่รู้จักใน Windows 8.1 Update 2) ในเดือนสิงหาคม 2014 Chrome และ Firefox ทำสิ่งนี้มานานกว่านี้ . Internet Explorer อยู่หลังเบราว์เซอร์อื่นที่นี่ - อีกครั้ง.
วิธีปิดใช้งาน Java Plug-in
ทุกคนที่ต้องการติดตั้ง Java อย่างน้อยควรปิดการใช้งานปลั๊กอินจากแผงควบคุม java ด้วย Java เวอร์ชันล่าสุดคุณสามารถแตะปุ่ม Windows หนึ่งครั้งเพื่อเปิดเมนู Start หรือหน้าจอเริ่มพิมพ์“ Java” แล้วคลิกทางลัด“ กำหนดค่า Java” บนแท็บความปลอดภัยยกเลิกการเลือกตัวเลือก“ เปิดใช้งานเนื้อหา Java ในเบราว์เซอร์”.
แม้หลังจากที่คุณปิดการใช้งานปลั๊กอิน Minecraft และแอปพลิเคชันเดสก์ท็อปอื่น ๆ ที่ขึ้นอยู่กับ Java จะทำงานได้ดี สิ่งนี้จะบล็อกเฉพาะแอปเพล็ต Java ที่ฝังอยู่บนหน้าเว็บ.
ใช่แอปเพล็ต Java ยังคงอยู่ใน wild คุณอาจพบพวกเขาบ่อยที่สุดในเว็บไซต์ภายในที่มีบาง บริษัท มีแอปพลิเคชันโบราณเขียนเป็นแอปเพล็ต Java แต่จาวาแอปเพล็ตเป็นเทคโนโลยีที่ตายแล้วและกำลังหายไปจากเว็บของผู้บริโภค พวกเขาควรจะแข่งขันกับ Flash แต่แพ้ แม้ว่าคุณต้องการ Java คุณอาจไม่จำเป็นต้องใช้ปลั๊กอิน.
บริษัท หรือผู้ใช้ที่ต้องการปลั๊กอินของเบราว์เซอร์ Java เป็นครั้งคราวควรเข้าไปในแผงควบคุมของ Java และเลือกเปิดใช้งาน ปลั๊กอินควรถูกพิจารณาว่าเป็นตัวเลือกความเข้ากันได้แบบดั้งเดิม.