Java曾經是web的一個重要組成部分,但在過去幾年中,它的受歡迎程度有所下降。大多數現代瀏覽器預設情況下都會阻止Java,大多數家庭使用者不再需要安裝它。
我們早就聽說Java是臺式計算機,尤其是Windows中最不安全的軟體。但這仍然是真的嗎?讓我們深入瞭解一下。
Java成為如此流行的攻擊目標的主要原因是它的廣泛性。因為Java是為最大的相容性而設計的,所以它可以在許多裝置上執行。除了電腦之外,Java還支援藍光播放器、印表機、停車支付系統、彩票裝置等等。它與隱祕的安全性相反:一個主要的平臺為攻擊提供了最好的回報。
當然,我們關心的是桌面上的Java。在這裡,最糟糕的缺點是Java不會自動更新自己。與大多數其他現代程式不同,Java只要求使用者在可用時安裝更新。更糟糕的是,預設情況下,Java只每週檢查一次更新,甚至每月檢查一次。對於一個有這麼多安全漏洞的應用來說,這是危險的。
許多人看到更新提示而忽略它,導致他們執行的是過時的Java版本。而且,隨著新版本的定期提供,即使是那些安裝了一些更新的人也可能會感到沮喪,並忽略了進一步的更新。在某些情況下,即使使用者安裝了新版本,也會保留安裝的舊版本。這就擴大了它們易受攻擊的範圍。
當然,我們不能忘記Java的長期傳奇,包括可怕的Ask工具欄。每次安裝或更新Java時,都必須記得取消選中一個框,否則它會包含那塊垃圾。雖然這不是一個漏洞,但卻給使用者留下了不好的印象。
這就是Java過去的問題所在,但是最近呢?
2017年10月,Veracode發現[不再可用]88%的Java應用程式至少包含一個易受攻擊的元件。2016年初,甲骨文宣佈,甚至Java安裝程式也存在漏洞。如果攻擊者將具有特定名稱的DLL檔案放在下載資料夾中,則在執行Java安裝程式時會觸發感染。一般來說,由於Java的流行,你只需要訪問一個被破壞的網站,這個網站利用了你過時的Java複製而被感染。
雖然這意味著Java遠不安全,但也有好訊息。2016年初,甲骨文宣佈計劃在JDK9中棄用Java瀏覽器外掛(這是大多數問題的根源),該外掛現已上市。現代瀏覽器也把Java拋在了後面。Chrome在2015年末放棄了對Java的支援,Firefox在2017年初停止了對Java的支援。微軟的邊緣瀏覽器,包括Windows10,根本不支援Java。
這意味著,如果您真的需要在瀏覽器中使用Java,您必須堅持使用Internet Explorer。
既然Java的流行度正在下降,那麼它作為最不安全的桌面軟體的位置又是什麼呢?
Flexera的最新資料來自2017年第1季度,資料顯示,普通PC上有7.8%的程式已經到了生命的盡頭。根據市場份額乘以未打補丁的使用者百分比,它將十大最受關注的程式排在前十位:
這張單子可能會讓你大吃一驚。雖然Java不是風險最大的程式,但它仍然是第二個。其他我們通常不會與安全風險聯絡在一起的程式,比如VLC和Malwarebytes,也佔有一席之地。這說明了保持所有軟體更新的重要性,而不僅僅是流行的軟體。
我們可以透過檢視Avast的2017年第3季度安全報告瞭解更多資訊。它列出了使用者電腦上最過時的十大程式:
當你加入舊版本時,Java似乎仍然是更新最少的軟體中的佼佼者。Adobe的外掛也是罪魁禍首,我們看到iTunes和VLC也榜上有名。
相反,根據TechRadar的說法,Chrome在更新的應用程式中排名靠前。調查顯示,88%執行Chrome的使用者安裝了最新版本。這說明了與Java和Adobe執行時使用的嘮叨更新提示相比,靜默自動更新有多麼大的不同。
更新的另一個重要組成部分是作業系統更新。請記住,在2017年年中,安裝了自動更新的使用者免受了可怕的勒索軟體攻擊。即使你保持像Java這樣的軟體是最新的,如果你不安裝Windows更新,你的計算機仍然有風險。
windows10使這些自動更新變得容易,但windows7上的那些可能已經禁用了它們。而那些在windowsxp使用壽命結束近四年後仍在使用的使用者正將自己置於重大風險之中。
綜上所述,我們還能說Java是桌上型電腦最大的安全風險嗎?不是真的。消極的一面是,人們仍然繼續執行過時的Java版本,即使他們真的不需要它。這會使他們暴露出安全漏洞。然而,由於大多數瀏覽器不再支援Java,它們不再像以前那樣容易受到攻擊。
你電腦安全性的薄弱環節來自最受歡迎的軟體,你不更新。如果您有最新版本的Java,但仍然沒有解除安裝Windows不支援的QuickTime,這將是一個很大的風險。擁有過時版本的Flash、Adobe Reader或iTunes也會讓您開啟攻擊的大門。
我們可以從上面的資料中得知,沒有自動更新的程式通常是最不安全的。例如,iTunes經常要求使用者更新,這很煩人。這會導致人們忽略這些更新,而安裝不安全的版本。
上面我們重點討論了Java for Windows,但值得一提的是,這對Mac和Linux使用者的影響。
令人驚訝的是,雖然蘋果不允許Safari預設執行外掛,但瀏覽器仍然支援Java和Silverlight等老外掛。除非出於特定原因需要,否則應該在Mac上解除安裝Java,但Java並沒有像在Windows上那樣給Mac使用者帶來太多問題。最近,macOS上的大多數安全漏洞都是由於蘋果自己的疏忽。
Linux也沒有發現任何獨特的Java漏洞。如果您需要在Linux上支援Java的瀏覽器,可以嘗試Firefox的ESR(ExtendedSupportRelease)版本。Firefox為業務環境提供了這個版本;它提供了最新的安全更新,但要等更長的時間才能推出功能更新。當前版本52支援Java和其他遺留外掛,將在2018年第二季度推出。
好訊息是你不需要再安裝這些潛在危險和惱人的外掛了。很少有網站使用Java,人們安裝Java的主要程式Minecraft現在包括一個安全的Java捆綁版本。其他外掛也不是必需的。微軟幾年前就否決了Silverlight,你很難找到一個包含Shockwave內容的網站。
Flash是唯一的例外。由於它的流行,大多數瀏覽器仍然支援它,但Adobe將在2020年淘汰它。在此之前,請注意確保你的電腦上更新Flash。Chrome會自動更新,所以你甚至可能不再安裝它(這很好)。
所以簡而言之:Java仍然不安全,但由於瀏覽器禁用了它,所以風險較小。您應該解除安裝不需要的程式(包括舊外掛),保持計算機上的軟體更新,並應用作業系統更新。如果你這樣做,你就會富裕起來。
圖片來源:avemario/Depositphotos
...瀏覽器端部分。但是Python是一種令人驚歎的語言,這就是為什麼它仍然是JavaScript的強大替代品。進一步瞭解Python for web開發。 PHP:你已經不太瞭解PHP了,因為它不像一些較新的web語言那麼流行,但它仍然被廣泛使...
...ecraft,是時候開始構建了。誰知道你下一步會用Minecraft做什麼? ...
...裝包不相容。你的安卓平板電腦怎麼樣?蘋果**?PS4?你為什麼不能把那軟體帶到你喜歡的地方去用呢?讓我們來探索一些不同的障礙,實現“買一次,跑一次”的夢想 ...
我已經設法建立了一個職業寫作線上,我這樣做是使用Linux。很早的時候,為了使用特定的軟體,我不得不隨身攜帶一臺Windows電腦,但這是一個只有一個客戶要求的需求。其他任何地方都允許我靠一臺Linux膝上型電腦謀生。 ...
... 如果您感興趣的話,我們已經進一步研究了為什麼Java現在沒有那麼大的安全風險。 ...