oracle無法保護java外掛,那麼為什麼預設情況下仍然啟用它呢?
2013年,在所有電腦洩露事件中,有91%是由Java造成的。大多數人不僅啟用了Java瀏覽器外掛,還使用了過時的易受攻擊的版本。嘿,甲骨文-是時候在預設情況下禁用該外掛了。
甲骨文知道這是一場災難。他們已經放棄了Java外掛的安全沙盒,它最初是為保護您免受惡意Java applet的攻擊而設計的。web上的Java小程式可以使用預設設定完全訪問您的系統。
java瀏覽器外掛是一場徹底的災難
每當像我們這樣的網站寫到Java非常不安全時,Java的捍衛者往往會抱怨。“那只是一個瀏覽器外掛,”他們說-承認它有多壞。但是在Java的每一次安裝中,預設情況下都會啟用這個不安全的瀏覽器外掛。統計數字不言自明。即使在howtogeek,我們95%的非移動訪問者都啟用了Java外掛。我們是一個不斷告訴讀者解除安裝Java或者至少禁用外掛的網站。
在網際網路範圍內,研究不斷顯示,大多數安裝了Java的計算機都有一個過時的Java瀏覽器外掛,可供惡意網站肆虐。2013年,Websense安全實驗室的一項研究顯示,80%的計算機都有過時的易受攻擊的Java版本。即使是最慈善的研究也很可怕——他們往往聲稱超過50%的Java外掛已經過時。
2014年,思科的年度安全報告稱,2013年所有攻擊中有91%是針對Java的。Oracle甚至試圖利用這個問題,將糟糕的Ask工具欄和其他junkware與Java更新捆綁在一起—保持優雅,Oracle。
oracle放棄了java外掛的沙盒
Java外掛執行嵌入在網頁上的Java程式或“Java applet”,類似於Adobe Flash的工作方式。由於Java是一種複雜的語言,從桌面應用程式到伺服器軟體,它的設計初衷是在一個安全的沙盒中執行這些Java程式。這將防止他們對你的系統做不好的事情,即使他們嘗試了。
不管怎樣,這就是理論。實際上,有一個看似永無止境的漏洞流,允許Java小程式逃離沙盒,在系統上肆意執行。
甲骨文意識到沙盒現在基本上壞了,所以沙盒現在基本上死了。他們已經放棄了。預設情況下,Java將不再執行“unsigned”applet。如果安全沙盒是可信的,那麼執行未簽名的小程式應該不是問題——這就是為什麼在web上執行任何Adobe Flash內容通常都不是問題的原因。即使Flash中存在漏洞,它們也會被修復,Adobe不會放棄Flash的沙盒功能。
預設情況下,Java將只加載簽名的applet。聽起來不錯,好像是一個很好的安全改進。然而,這裡有一個嚴重的後果。當一個javaapplet被簽名時,它被認為是“可信的”,並且不使用沙盒。正如Java的警告資訊所說:
“This application will run with unrestricted access which may put your computer and personal information at risk.”
即使是Oracle自己的Java版本檢查小程式—一個執行Java檢查已安裝版本並告訴您是否需要更新的簡單小程式—也需要完全的系統訪問許可權。那完全是瘋了。
換句話說,Java真的放棄了沙盒。預設情況下,您既可以不執行Java小程式,也可以在完全訪問系統的情況下執行它。除非調整Java的安全設定,否則無法使用沙盒。沙盒是如此不可信,以至於您在網上遇到的每一個Java程式碼都需要完全訪問您的系統。您不妨下載一個Java程式並執行它,而不是依賴於瀏覽器外掛,因為瀏覽器外掛沒有提供它最初設計的附加安全性。
正如一位Java開發人員所解釋的:“Oracle故意以提高安全性為藉口,殺掉Java安全沙盒。”
網路瀏覽器正在自行禁用它
謝天謝地,網路瀏覽器正在介入修復甲骨文的不作為。即使您安裝並啟用了Java瀏覽器外掛,Chrome和Firefox在預設情況下也不會載入Java內容。他們對Java內容使用“點選播放”。
Internet Explorer仍然自動載入Java內容。Internet Explorer有所改進—它終於在2014年8月開始阻止過時、易受攻擊的ActiveX控制元件以及“Windows 8.1 August Update”(又名Windows 8.1 Update 2)。Chrome和Firefox這樣做已經很久了。Internet Explorer在這方面落後於其他瀏覽器。
如何禁用java外掛
每個需要安裝Java的人至少應該從Java控制面板禁用外掛。對於最新版本的Java,可以按一下Windows鍵開啟“開始”選單或“開始”螢幕,鍵入“Java”,然後單擊“配置Java”快捷方式。在安全選項卡上,取消選中“在瀏覽器中啟用Java內容”選項。
即使禁用了外掛,Minecraft和任何其他依賴Java的桌面應用程式也可以正常執行。這隻會阻止嵌入在網頁上的Java小程式。
是的,Java小程式仍然存在於野外。您可能會在一些公司的內部網站上找到它們,其中有一個古老的應用程式是用javaapplet編寫的。但是Java小應用程式是一種死氣沉沉的技術,它們正在從消費者網路上消失。他們本該和Flash競爭的,但他們輸了。即使您需要Java,也可能不需要外掛。
偶爾需要Java瀏覽器外掛的公司或使用者應該進入Java的控制面板並選擇啟用它。該外掛應被視為一個遺留相容性選項。
- 發表於 2021-04-11 05:49
- 閱讀 ( 35 )
- 分類:網際網路
你可能感興趣的文章
5種簡單的方法讓你的mac電腦感染惡意軟體
... 4禁用mac的內建保護 ...
為什麼java現在在windows、mac和linux上的安全風險更小
...好訊息。2016年初,甲骨文宣佈計劃在JDK9中棄用Java瀏覽器外掛(這是大多數問題的根源),該外掛現已上市。現代瀏覽器也把Java拋在了後面。Chrome在2015年末放棄了對Java的支援,Firefox在2017年初停止了對Java的支援。微軟的邊緣瀏...
你知道嗎?windows 10電腦預設開啟“遊戲模式”
...將其設定為“關閉” 就這樣。在Windows10的現代版本中,無法手動啟用或禁用單個遊戲的遊戲模式。在2017年的Creators更新中,您可以在Xbox遊戲欄介面中為特定遊戲開啟或關閉遊戲模式,但此選項現在已不存在。在Windows10於2020年10...
你可以撤銷傳送到outlook,就像gmail一樣
...,Outlook將照常傳送電子郵件。如果電子郵件已傳送,則無法撤消傳送。 如何在上啟用“撤消傳送”outlook.com Outlook.com,也被稱為outlookwebapp,有一個現代版和一個經典版。的大多數使用者Outlook.com現在他們的電子郵件帳戶應該有...
Windows10中的“核心隔離”和“記憶體完整性”是什麼?
...需要獨佔訪問此硬體,並且在啟用記憶體完整性的情況下無法工作。 如何啟用核心隔離記憶體完整性 您可以檢視您的電腦是否啟用了核心隔離功能,並透過Windows Defender Security Center應用程式開啟或關閉記憶體保護。(作為2018年1...
windows defender的新漏洞保護如何工作(以及如何配置)
...看到Windows Defender通知解釋Internet Explorer由於我們的設定而無法執行。 不要盲目地限制應用程式,否則會在系統上造成類似的問題。如果你不記得你也更改了選項,它們將很難排除故障。 如果您仍然使用舊版本的Windows(如Windows ...
如何保護mac免受惡意軟體攻擊
...惡意軟體是由你決定的。 相關:基本的電腦保安:如何保護自己免受病毒,駭客和小偷 我們已經為Mac使用者收集了一些提示,但是有很多事情你也可以做,而不是針對Mac,所以除了以下提示之外,一定要檢視我們完整的基本安...
如何在現代瀏覽器中使用java、silverlight和其他外掛
最新版本的googlechrome、mozillafirefox和microsoftedge只支援Flash外掛。如果您想使用Java、Silverlight或任何其他基於ActiveX或NPAPI的外掛,您需要找到一個替代瀏覽器。 大多數網路使用者都可以不用這些外掛。這就是瀏覽器開發者不再支...
什麼是noscript,您應該使用它來禁用javascript嗎?
...提供沒有JavaScript的備用頁面。 如果禁用JavaScript,則可能無法使用網站上的某些功能。在其他情況下,網站甚至可能完全崩潰,或者你會被困在使用令人難以置信的舊版本的網頁。例如,Gmail為禁用JavaScript的使用者提供了一個非...
psa:現在加密你的pc、手機和平板電腦。如果你不這樣做,你以後會後悔的
...保已備份計算機—如果忘記密碼或驅動器出現故障,您將無法訪問資料,因此加密時備份更為重要!) 窗戶 許多windows10pc(尤其是平板電腦和混合電腦)現在都預設啟用了加密功能。要檢查並檢視您的加密是否已經執行,請進...
