Oracle no pot assegurar el connector Java, per què encara està habilitat per defecte?



Java va ser responsable del 91 per cent de tots els compromisos informàtics el 2013. La majoria de la gent no només té activat el connector del navegador Java, sinó que està utilitzant una versió obsoleta i vulnerable. Hola, Oracle: és hora de desactivar aquest connector de manera predeterminada.

Oracle sap que la situació és un desastre. Han renunciat a la caixa de sorra de seguretat del connector Java, dissenyat originalment per protegir-vos dels applets maliciosos de Java. Els applets de Java al web tenen accés complet al vostre sistema amb la configuració predeterminada.





El complement del navegador Java és un desastre total

Els defensors de Java tendeixen a queixar-se sempre que llocs com el nostre escriuen que Java és extremadament insegur. Diuen que això és només el connector del navegador, reconeixent com de trencat està. Però aquest connector del navegador insegur està habilitat per defecte a cada instal·lació de Java que hi ha. Les estadístiques parlen per si soles. Fins i tot aquí a How-To Geek, el 95 per cent dels nostres visitants no mòbils tenen el connector Java habilitat. I som un lloc web que segueix dient als nostres lectors desinstal·lar java o almenys desactiva el connector .

A tot Internet, els estudis continuen demostrant que la majoria d'ordinadors amb Java instal·lat tenen un connector de navegador de Java obsolet disponible perquè els llocs web maliciosos puguin fer estralls. L'any 2013, a estudi de Websense Security Labs va demostrar que el 80 per cent dels ordinadors tenien versions de Java desactualitzades i vulnerables. Fins i tot els estudis més benèfics fan por: acostumen a afirmar que més del 50 per cent dels connectors de Java estan obsolets.



L'any 2014, Informe anual de seguretat de Cisco va dir que el 91 per cent de tots els atacs el 2013 van ser contra Java. Oracle fins i tot intenta aprofitar aquest problema agrupant la terrible barra d'eines Ask i altres programes no desitjats amb actualitzacions de Java: manteniu-vos amb classe, Oracle.

Oracle va renunciar a la zona de sorra del complement Java

El connector de Java executa un programa Java (o miniaplicació Java) incrustat en una pàgina web, de manera semblant a com funciona Adobe Flash. Com que Java és un llenguatge complex utilitzat per a tot, des d'aplicacions d'escriptori fins a programari de servidor, el connector va ser dissenyat originalment per executar aquests programes Java en una caixa de sorra segura . Això evitaria que fessin coses desagradables al vostre sistema, encara que ho intentessin.



Anunci

Aquesta és la teoria, de totes maneres. A la pràctica, hi ha un corrent aparentment interminable de vulnerabilitats que permeten que les miniaplicacions Java escapen de la caixa de sorra i s'executin amb el vostre sistema.

Oracle s'adona que ara la caixa de sorra està bàsicament trencada, de manera que la caixa de sorra està pràcticament morta. Hi han renunciat. Per defecte, Java ja no executarà miniaplicacions sense signar. L'execució d'applets sense signar no hauria de ser un problema si el sandbox de seguretat era fiable; per això, en general, no és un problema executar qualsevol contingut d'Adobe Flash que trobeu al web. Fins i tot si hi ha vulnerabilitats a Flash, estan solucionades i Adobe no renuncia al sandboxing de Flash.

Per defecte, Java només carregarà miniaplicacions signades. Això sona bé, com una bona millora de seguretat. Tanmateix, aquí hi ha una greu conseqüència. Quan un applet de Java està signat, es considera de confiança i no fa servir el sandbox. Com diu el missatge d'advertència de Java:

Aquesta aplicació s'executarà amb un accés sense restriccions, cosa que pot posar en perill l'ordinador i la informació personal.

Fins i tot la miniaplicació de comprovació de la versió Java d'Oracle, una petita miniaplicació senzilla que executa Java per comprovar la vostra versió instal·lada i us indica si necessiteu actualitzar-la, requereix aquest accés complet al sistema. Això és completament boig.

En altres paraules, Java realment ha renunciat a la caixa de sorra. De manera predeterminada, no podeu executar una miniaplicació Java o executar-la amb accés complet al vostre sistema. No hi ha manera d'utilitzar el sandbox tret que modifiqueu la configuració de seguretat de Java. El sandbox és tan poc fiable que cada fragment de codi Java que trobeu en línia necessita un accés complet al vostre sistema. També podeu descarregar un programa Java i executar-lo en lloc de confiar en el connector del navegador, que no ofereix la seguretat addicional que es va dissenyar originalment.

Anunci

Com un desenvolupador Java explicat : Oracle està matant intencionadament el sandbox de seguretat de Java amb el pretext de millorar la seguretat.

Els navegadors web ho estan desactivant pel seu compte

Afortunadament, els navegadors web intervenen per solucionar la inacció d'Oracle. Fins i tot si teniu el connector del navegador Java instal·lat i activat, Chrome i Firefox no carregaran contingut Java de manera predeterminada. Utilitzen el clic per reproduir per al contingut Java.

Internet Explorer encara carrega automàticament contingut Java. Internet Explorer ha millorat una mica: finalment va començar a bloquejar controls ActiveX desactualitzats i vulnerables juntament amb el Actualització d'agost de Windows 8.1 (també conegut com a Actualització 2 de Windows 8.1) a l'agost de 2014. Chrome i Firefox fa molt més temps que ho fan. Internet Explorer està darrere d'altres navegadors aquí, de nou.

Com desactivar el connector Java

Tothom que necessiti instal·lar Java hauria de desactivar almenys el connector des del tauler de control de Java. Amb les versions recents de Java, podeu tocar la tecla Windows una vegada per obrir el menú Inici o la pantalla d'inici, escriviu Java i, a continuació, feu clic a la drecera Configura Java. A la pestanya Seguretat, desmarqueu l'opció Habilita el contingut Java al navegador.

Fins i tot després de desactivar el connector, Minecraft i qualsevol altra aplicació d'escriptori que depengui de Java funcionarà bé. Això només bloquejarà els applets de Java incrustats a les pàgines web.


Sí, els applets de Java encara existeixen en estat salvatge. Probablement els trobareu amb més freqüència als llocs interns on alguna empresa té una aplicació antiga escrita com a miniaplicació Java. Però els applets de Java són una tecnologia morta i estan desapareixent de la web del consumidor. Se suposa que competirien amb Flash, però van perdre. Fins i tot si necessiteu Java, probablement no necessiteu el connector.

Anunci

L'empresa o usuari ocasional que necessita el connector del navegador Java hauria d'anar al tauler de control de Java i triar activar-lo. El connector s'ha de considerar una opció de compatibilitat heretada.

LLEGIR A SEGUENT Foto de perfil de Chris Hoffman Chris Hoffman
Chris Hoffman és editor en cap de How-To Geek. Ha escrit sobre tecnologia durant més d'una dècada i va ser columnista de PCWorld durant dos anys. Chris ha escrit per a The New York Times, ha estat entrevistat com a expert en tecnologia a cadenes de televisió com NBC 6 de Miami, i ha tingut el seu treball cobert per mitjans de comunicació com la BBC. Des del 2011, Chris ha escrit més de 2.000 articles que s'han llegit gairebé mil milions de vegades, i això és aquí a How-To Geek.
Llegeix la biografia completa

Articles D'Interès