Oracle zna kako je situacija katastrofa. Odustali su od sigurnosnog pješčaniku, Java plug-in, koji je izvorno dizajniran kako bi vas zaštitio od zlonamjernih Java apleta. Java apleti na webu imaju potpun pristup vašem sustavu uz zadane postavke.
Java Browser Plug-in je potpuna katastrofa
Branitelji Jave imaju tendenciju da se žale kad god web stranice poput naših napišu da je Java izuzetno nesiguran. "To je samo plug-in preglednika", kažu - priznajući kako je slomljena. Ali taj nesigurni plug-in preglednika omogućen je prema zadanim postavkama u svakoj instalaciji Java tamo. Statistika govori za sebe. Čak i ovdje u How-To Geeku, 95 posto naših ne-mobilnih posjetitelja omogućilo je Java plug-in. A mi smo web-lokacija koja čitateljima nastavlja deinstalirati Java ili barem onemogućiti dodatak.
Širom svijeta, studije pokazuju da većina računala s instaliranim Java softverom imaju zastarjeli plug-in Java preglednika koji je dostupan za zlonamjerne web-lokacije. Godine 2013. studija tvrtke Websense Security Labs pokazala je da 80 posto računala ima zastarjele, ranjive verzije Java. Čak i najatraktivnija dobrotvorna studija zastrašujuća - oni imaju tendenciju da tvrde da je više od 50 posto Java plugova zastarjelo.
U 2014. godini Ciscoova godišnja izvješća o sigurnosti izvijestila su kako je 91 posto svih napada u 2013. godini bilo protiv Jave. Oracle čak pokušava iskoristiti ovaj problem grupiranjem strašne trake za Ask Toolbar i drugih junkwarea s Java ažuriranjima - ostati elegantan, Oracle.
Oracle je prepustio Sandboxingu Java dodataka
Java plug-in pokreće Java program - ili "Java applet" - ugrađen na web stranicu, slično načinu na koji Adobe Flash radi. Budući da je Java složen jezik koji se koristi za sve, od aplikacija za stolna računala do poslužiteljskog softvera, plug-in je izvorno dizajniran za pokretanje tih Java programa u sigurnom sandboxu. To bi ih spriječilo da učine gadne stvari vašem sustavu, čak i ako su pokušali.
U svakom slučaju to je teorija. U praksi, naizgled je neprekidni tok ranjivosti koji omogućuju Java appletima da pobjegnu u pješčaniku i pokrenu grubo stanje na vašem sustavu.
Oracle shvaća da je pješčanik sada u osnovi slomljen, pa je pješčanik sada u osnovi mrtav. Odustali su od njega. Prema zadanim postavkama, Java više neće pokretati "nepotpisane" applete. Pokretanje nepotpisanih aplikacija ne bi trebalo biti problem ako je sigurnosni pješčenjak bio pouzdani - to je razlog zašto obično nije problem pokretanje bilo kojeg Adobe Flash sadržaja koji se nalazi na webu. Čak i ako postoje sigurnosni propusti u Flashu, oni su fiksni i Adobe ne odustaje od Flashova sandboxa.
“This application will run with unrestricted access which may put your computer and personal information at risk.”
Čak i Oracleova Java verzija provjerava aplet - jednostavni mali aplet koji pokreće Java za provjeru instalirane verzije i govori vam je li potrebno ažurirati - zahtijeva ovaj puni pristup sustavu. To je potpuno lud.
Kao što je jedan razvojni programer Java objasnio: "Oracle namjerno ubija Java sigurnosni pješčanik pod pretpostavkom poboljšanja sigurnosti".
Web preglednici to onesposobljavaju
Srećom, web preglednici ulaze u korak Oracleova neaktivnost. Čak i ako instalirate i omogućite dodatak Java preglednika, Chrome i Firefox nećete učitati Java sadržaj prema zadanim postavkama. Koriste "klikni za reprodukciju" za Java sadržaj.
Internet Explorer i dalje automatski učitava Java sadržaj. Internet Explorer se donekle popravio - konačno je u kolovozu 2014. započeo blokiranje zastarjelih i ranjivih ActiveX kontrola zajedno s "Windows 8.1 August Update" (aka Windows 8.1 Update 2). Chrome i Firefox to rade mnogo dulje, Internet Explorer je iza drugih preglednika ovdje - opet.
Kako onemogućiti Java Plug-in
Svi koji trebaju instalirati Java trebali bi barem onemogućiti dodatak s upravljačke ploče Java. Uz nedavne verzije Java, možete taknite tipku Windows jednom da biste otvorili izbornik Start ili Početni zaslon, upišite "Java", a zatim kliknite prečac "Konfiguracija Java". Na kartici Sigurnost poništite opciju "Omogući Java sadržaj u pregledniku".
Čak i nakon što onemogućite dodatak, Minecraft i sve druge aplikacije na računalu koje ovise o Javau bit će sasvim u redu. To će samo blokirati Java aplete ugrađene na web stranicama.
Da, Java apleti i dalje postoje u divljini. Vjerojatno ćete ih najčešće naći na internim mjestima na kojima neka tvrtka ima drevnu aplikaciju koja je napisana kao Java aplet. No, Java apleti su mrtva tehnologija i oni nestaju s interneta za potrošače. Trebali su se natjecati s Flashom, ali su izgubili. Čak i ako trebate Java, vjerojatno ne trebate dodatak.
Povremeno tvrtka ili korisnik koji trebaju plug-in Java preglednika trebao bi ići na Javaovu upravljačku ploču i odabrati to omogućiti. Dodatak bi se trebao smatrati opcijom starijih kompatibilnosti.