Homepage » come » Oracle non può proteggere il plug-in Java, quindi perché è ancora abilitato per impostazione predefinita?

    Oracle non può proteggere il plug-in Java, quindi perché è ancora abilitato per impostazione predefinita?

    Java era responsabile del 91% di tutti i compromessi informatici nel 2013. La maggior parte delle persone non solo ha abilitato il plug-in del browser Java, ma utilizza una versione vulnerabile obsoleta. Ehi, Oracle: è ora di disabilitare quel plug-in per impostazione predefinita.

    Oracle sa che la situazione è un disastro. Hanno rinunciato alla sandbox di sicurezza del plug-in Java, originariamente progettato per proteggerti da applet Java dannose. Le applet Java sul Web ottengono l'accesso completo al tuo sistema con le impostazioni predefinite.

    Il plug-in del browser Java è un disastro completo

    I difensori di Java tendono a lamentarsi quando siti come il nostro scrivono che Java è estremamente insicuro. "Questo è solo il plug-in del browser", dicono, riconoscendo quanto sia rotto. Ma quel plug-in del browser non sicuro è abilitato di default in ogni singola installazione di Java. Le statistiche parlano da sole. Anche qui su How-To Geek, il 95 percento dei nostri visitatori non mobili ha il plug-in Java abilitato. E siamo un sito web che continua a dire ai nostri lettori di disinstallare Java o almeno disabilitare il plug-in.

    A livello di Internet, gli studi continuano a dimostrare che la maggior parte dei computer con Java installato ha un plug-in del browser Java scaduto disponibile per devastare i siti Web dannosi. Nel 2013, uno studio condotto da Websense Security Labs ha mostrato che l'80% dei computer aveva versioni vulnerabili di Java non aggiornate. Anche gli studi più caritatevoli sono spaventosi: tendono a rivendicare più del 50% dei plug-in Java non aggiornati.

    Nel 2014, il rapporto annuale sulla sicurezza di Cisco afferma che il 91% di tutti gli attacchi nel 2013 erano contro Java. Oracle cerca anche di sfruttare questo problema raggruppando la terribile Ask Toolbar e altri junkware con gli aggiornamenti Java - resta elegante, Oracle.

    Oracle ha dato voce al sandboxing del plug-in Java

    Il plug-in Java esegue un programma Java - o "applet Java" - incorporato in una pagina Web, simile a come funziona Adobe Flash. Poiché Java è un linguaggio complesso utilizzato per tutto, dalle applicazioni desktop al software server, il plug-in è stato originariamente progettato per eseguire questi programmi Java in una sandbox sicura. Ciò impedirebbe loro di fare cose cattive al tuo sistema, anche se ci provassero.

    Questa è la teoria, comunque. In pratica, c'è un flusso di vulnerabilità apparentemente infinito che consente alle applet Java di sfuggire alla sandbox e di agire in modo approssimativo sul sistema.

    Oracle si rende conto che la sandbox ora è fondamentalmente rotta, quindi la sandbox adesso è praticamente morta. Ci hanno rinunciato. Per impostazione predefinita, Java non eseguirà più applet "unsigned". L'esecuzione di applet non firmate non dovrebbe essere un problema se la sandbox di sicurezza fosse affidabile. Ecco perché in genere non è un problema eseguire i contenuti Adobe Flash che trovi sul web. Anche se ci sono vulnerabilità in Flash, sono corretti e Adobe non si arrende alla sandboxing di Flash.

    Per impostazione predefinita, Java caricherà solo applet firmate. Suona bene, come un buon miglioramento della sicurezza. Tuttavia, qui c'è una grave conseguenza. Quando viene firmata un'applet Java, viene considerata "attendibile" e non utilizza la sandbox. Come dice il messaggio di avvertimento di Java:

    "Questa applicazione funzionerà con accesso illimitato che potrebbe mettere a rischio il tuo computer e le tue informazioni personali."

    Anche l'applet di controllo della versione Java di Oracle - una semplice piccola applet che esegue Java per controllare la versione installata e ti dice se è necessario aggiornare - richiede questo accesso completo al sistema. È completamente pazzo.

    In altre parole, Java ha davvero rinunciato alla sandbox. Per impostazione predefinita, non puoi eseguire un applet Java o eseguirlo con pieno accesso al tuo sistema. Non c'è modo di usare la sandbox a meno di non modificare le impostazioni di sicurezza di Java. La sandbox è così inaffidabile che ogni bit del codice Java che incontri online richiede pieno accesso al tuo sistema. Si potrebbe anche solo scaricare un programma Java ed eseguirlo piuttosto che fare affidamento sul plug-in del browser, che non offre la sicurezza aggiuntiva che era stato originariamente progettato per fornire.

    Come ha spiegato uno sviluppatore Java: "Oracle sta intenzionalmente eliminando la sandbox di sicurezza Java con il pretesto di migliorare la sicurezza".

    I browser Web lo disabilitano da soli

    Per fortuna, i browser web stanno intervenendo per risolvere l'inazione di Oracle. Anche se il plug-in del browser Java è installato e abilitato, Chrome e Firefox non caricheranno il contenuto Java per impostazione predefinita. Usano "click-to-play" per contenuti Java.

    Internet Explorer carica ancora automaticamente il contenuto Java. Internet Explorer è in qualche modo migliorato - ha finalmente iniziato a bloccare i controlli ActiveX vulnerabili obsoleti insieme al "Aggiornamento di Windows 8.1 di agosto" (noto anche come Windows 8.1 Update 2) ad agosto 2014. Chrome e Firefox lo hanno fatto per molto più tempo . Internet Explorer è dietro altri browser qui - di nuovo.

    Come disabilitare il plug-in Java

    Chiunque abbia bisogno di Java installato dovrebbe almeno disabilitare il plug-in dal pannello di controllo java. Con le versioni recenti di Java, è possibile toccare il tasto Windows una volta per aprire il menu Start o la schermata Start, digitare "Java" e quindi fare clic sul collegamento "Configure Java". Nella scheda Sicurezza, deselezionare l'opzione "Abilita contenuto Java nel browser".

    Anche dopo aver disattivato il plug-in, Minecraft e qualsiasi altra applicazione desktop che dipende da Java funzionerà correttamente. Questo bloccherà solo le applet Java incorporate nelle pagine web.


    Sì, le applet Java esistono ancora in natura. Probabilmente le troverai più frequentemente su siti interni in cui alcune aziende hanno un'applicazione antica scritta come applet Java. Ma le applet Java sono una tecnologia morta e stanno scomparendo dal web del consumatore. Dovevano competere con Flash, ma hanno perso. Anche se hai bisogno di Java, probabilmente non hai bisogno del plug-in.

    L'azienda o l'utente occasionale che ha bisogno del plug-in del browser Java dovrebbe entrare nel Pannello di controllo di Java e scegliere di abilitarlo. Il plug-in deve essere considerato un'opzione di compatibilità legacy.