oracle无法保护java插件,那么为什么默认情况下仍然启用它呢?
2013年,在所有电脑泄露事件中,有91%是由Java造成的。大多数人不仅启用了Java浏览器插件,还使用了过时的易受攻击的版本。嘿,甲骨文-是时候在默认情况下禁用该插件了。
甲骨文知道这是一场灾难。他们已经放弃了Java插件的安全沙盒,它最初是为保护您免受恶意Java applet的攻击而设计的。web上的Java小程序可以使用默认设置完全访问您的系统。
java浏览器插件是一场彻底的灾难
每当像我们这样的网站写到Java非常不安全时,Java的捍卫者往往会抱怨。“那只是一个浏览器插件,”他们说-承认它有多坏。但是在Java的每一次安装中,默认情况下都会启用这个不安全的浏览器插件。统计数字不言自明。即使在howtogeek,我们95%的非移动访问者都启用了Java插件。我们是一个不断告诉读者卸载Java或者至少禁用插件的网站。
在互联网范围内,研究不断显示,大多数安装了Java的计算机都有一个过时的Java浏览器插件,可供恶意网站肆虐。2013年,Websense安全实验室的一项研究显示,80%的计算机都有过时的易受攻击的Java版本。即使是最慈善的研究也很可怕——他们往往声称超过50%的Java插件已经过时。
2014年,思科的年度安全报告称,2013年所有攻击中有91%是针对Java的。Oracle甚至试图利用这个问题,将糟糕的Ask工具栏和其他junkware与Java更新捆绑在一起—保持优雅,Oracle。
oracle放弃了java插件的沙盒
Java插件运行嵌入在网页上的Java程序或“Java applet”,类似于Adobe Flash的工作方式。由于Java是一种复杂的语言,从桌面应用程序到服务器软件,它的设计初衷是在一个安全的沙盒中运行这些Java程序。这将防止他们对你的系统做不好的事情,即使他们尝试了。
不管怎样,这就是理论。实际上,有一个看似永无止境的漏洞流,允许Java小程序逃离沙盒,在系统上肆意运行。
甲骨文意识到沙盒现在基本上坏了,所以沙盒现在基本上死了。他们已经放弃了。默认情况下,Java将不再运行“unsigned”applet。如果安全沙盒是可信的,那么运行未签名的小程序应该不是问题——这就是为什么在web上运行任何Adobe Flash内容通常都不是问题的原因。即使Flash中存在漏洞,它们也会被修复,Adobe不会放弃Flash的沙盒功能。
默认情况下,Java将只加载签名的applet。听起来不错,好像是一个很好的安全改进。然而,这里有一个严重的后果。当一个javaapplet被签名时,它被认为是“可信的”,并且不使用沙盒。正如Java的警告信息所说:
“This application will run with unrestricted access which may put your computer and personal information at risk.”
即使是Oracle自己的Java版本检查小程序—一个运行Java检查已安装版本并告诉您是否需要更新的简单小程序—也需要完全的系统访问权限。那完全是疯了。
换句话说,Java真的放弃了沙盒。默认情况下,您既可以不运行Java小程序,也可以在完全访问系统的情况下运行它。除非调整Java的安全设置,否则无法使用沙盒。沙盒是如此不可信,以至于您在网上遇到的每一个Java代码都需要完全访问您的系统。您不妨下载一个Java程序并运行它,而不是依赖于浏览器插件,因为浏览器插件没有提供它最初设计的附加安全性。
正如一位Java开发人员所解释的:“Oracle故意以提高安全性为借口,杀掉Java安全沙盒。”
网络浏览器正在自行禁用它
谢天谢地,网络浏览器正在介入修复甲骨文的不作为。即使您安装并启用了Java浏览器插件,Chrome和Firefox在默认情况下也不会加载Java内容。他们对Java内容使用“点击播放”。
Internet Explorer仍然自动加载Java内容。Internet Explorer有所改进—它终于在2014年8月开始阻止过时、易受攻击的ActiveX控件以及“Windows 8.1 August Update”(又名Windows 8.1 Update 2)。Chrome和Firefox这样做已经很久了。Internet Explorer在这方面落后于其他浏览器。
如何禁用java插件
每个需要安装Java的人至少应该从Java控制面板禁用插件。对于最新版本的Java,可以按一下Windows键打开“开始”菜单或“开始”屏幕,键入“Java”,然后单击“配置Java”快捷方式。在安全选项卡上,取消选中“在浏览器中启用Java内容”选项。
即使禁用了插件,Minecraft和任何其他依赖Java的桌面应用程序也可以正常运行。这只会阻止嵌入在网页上的Java小程序。
是的,Java小程序仍然存在于野外。您可能会在一些公司的内部网站上找到它们,其中有一个古老的应用程序是用javaapplet编写的。但是Java小应用程序是一种死气沉沉的技术,它们正在从消费者网络上消失。他们本该和Flash竞争的,但他们输了。即使您需要Java,也可能不需要插件。
偶尔需要Java浏览器插件的公司或用户应该进入Java的控制面板并选择启用它。该插件应被视为一个遗留兼容性选项。
- 发表于 2021-04-11 05:49
- 阅读 ( 208 )
- 分类:互联网
你可能感兴趣的文章
5种简单的方法让你的mac电脑感染恶意软件
... 如果您感兴趣的话,我们已经进一步研究了为什么Java现在没有那么大的安全风险。 ...
为什么java现在在windows、mac和linux上的安全风险更小
Java曾经是web的一个重要组成部分,但在过去几年中,它的受欢迎程度有所下降。大多数现代浏览器默认情况下都会阻止Java,大多数家庭用户不再需要安装它。 ...
如何在mac上卸载应用程序:您需要知道的一切
...染它们。 相关:如何在Mac上禁用系统完整性保护(以及为什么不禁用) 如果你真的想从你的Mac上删除这些内置应用,你必须先禁用系统完整性保护。我们不建议这样做。但是,您可以在之后重新启用SIP,并且您的Mac不会介意您...
如何保护mac免受恶意软件攻击
...全禁止的。 这打破了许多长期存在的系统调整,这就是为什么有些人寻找方法来禁用系统身份保护。但是禁用SIP是一个非常糟糕的主意。如果你有能力改变操作系统的核心,那么你运行的任何恶意软件也是如此,这使得检测和...
如何在现代浏览器中使用java、silverlight和其他插件
...什么? 使用internet explorer(即使在windows 10上) 相关:为什么浏览器插件会消失,是什么在取代它们 Internet Explorer是微软的传统浏览器,微软仍然支持它的安全更新。即使在Windows 10上,Microsoft Edge是默认的web浏览器,出于兼容...
什么是noscript,您应该使用它来禁用javascript吗?
...,现在它可以用于新的firefoxquantum。但是什么是NoScript,为什么那么多人都用它起誓,你应该用它吗? NoScript本质上是一个Firefox插件,它禁止JavaScript之类的东西在您访问的网站上运行。所以在我们讨论NoScript之前,我们应该先讨...
保护web浏览器免受攻击的7种方法
...省CPU周期和电池电量。它还有重要的安全优势。攻击者将无法在后台利用浏览器插件中的缺陷,因为只有在您有充分理由这样做时,才允许加载插件。 卸载不需要的插件 相关:卸载或禁用插件,使您的浏览器更安全 卸载您不...
minecraft不再需要安装java,现在是卸载java的时候了
...动程序,所以我们正在更新这篇文章。 有什么新变化,为什么重要? 在过去的几个月里,Mojang一直在为Minecraft的WindowsPC版测试一个新的发射器(一个OSX发射器正在研制中,预计在今年年底)。launcher的主要变化(也很有新闻价...
什么是虐待?你如何保护自己?
...的访问者。 网站每天都被黑客入侵,假设你的adblocker会保护你是一种错误的安全感。如果你是易受攻击的,而且有很多人是易受攻击的,那么即使是一次点击也会感染你的系统。 web浏览器和插件受到攻击 攻击者有两种主要方...
如何在每个web浏览器中启用单击播放插件
...果访问播放音乐的网站并单击“播放”按钮,则音乐可能无法播放,因为该网站无法在后台加载Flash。 在这些情况下,通常需要单击浏览器地址栏中出现的图标,通知插件内容已被阻止。您可以从这里启用当前页面上的插件内容...
0 篇文章
