Oracle không thể bảo mật trình cắm Java, vậy tại sao nó vẫn được bật theo mặc định?
Java chịu trách nhiệm cho 91 phần trăm tất cả các thỏa hiệp máy tính trong năm 2013. Hầu hết mọi người không chỉ kích hoạt trình cắm Java - họ đang sử dụng phiên bản dễ bị lỗi thời. Này, Oracle - đã đến lúc tắt trình cắm đó theo mặc định.
Oracle biết tình hình là một thảm họa. Họ đã từ bỏ hộp cát bảo mật của trình cắm thêm Java, ban đầu được thiết kế để bảo vệ bạn khỏi các applet Java độc hại. Các applet Java trên web có quyền truy cập hoàn toàn vào hệ thống của bạn với các cài đặt mặc định.
Trình cắm trình duyệt Java là một thảm họa hoàn chỉnh
Những người bảo vệ Java có xu hướng phàn nàn bất cứ khi nào các trang web như chúng tôi viết rằng Java cực kỳ không an toàn. Họ nói đó chỉ là trình cắm trình duyệt, họ nói - thừa nhận nó đã bị hỏng như thế nào. Nhưng trình cắm trình duyệt không an toàn đó được bật theo mặc định trong mỗi lần cài đặt Java ngoài kia. Các số liệu thống kê nói cho chính họ. Ngay cả ở đây tại How-To Geek, 95 phần trăm khách truy cập không di động của chúng tôi đã kích hoạt trình cắm Java. Và chúng tôi là một trang web luôn bảo các độc giả của chúng tôi gỡ cài đặt Java hoặc ít nhất là vô hiệu hóa trình cắm.
Các nghiên cứu trên Internet tiếp tục cho thấy rằng phần lớn các máy tính có cài đặt Java đều có trình cắm Java trình duyệt lỗi thời có sẵn cho các trang web độc hại để tàn phá. Vào năm 2013, một nghiên cứu của Websense Security Labs cho thấy 80% máy tính có các phiên bản Java dễ bị lỗi thời, lỗi thời. Ngay cả những nghiên cứu từ thiện nhất cũng đáng sợ - họ có xu hướng yêu cầu hơn 50 phần trăm các trình cắm Java đã lỗi thời.
Năm 2014, báo cáo bảo mật hàng năm của Cisco cho biết 91 phần trăm tất cả các cuộc tấn công trong năm 2013 là chống lại Java. Oracle thậm chí còn cố gắng tận dụng vấn đề này bằng cách gói Thanh công cụ Ask khủng khiếp và các phần mềm rác khác với các bản cập nhật Java - giữ nguyên đẳng cấp, Oracle.
Oracle đã phát triển trên Sandboxing của Trình cắm thêm Java
Trình cắm Java chạy chương trình Java - hoặc applet Java Java - được nhúng trên trang web, tương tự như cách Adobe Flash hoạt động. Do Java là ngôn ngữ phức tạp được sử dụng cho mọi thứ, từ ứng dụng máy tính để bàn đến phần mềm máy chủ, nên trình cắm thêm ban đầu được thiết kế để chạy các chương trình Java này trong một hộp cát an toàn. Điều này sẽ ngăn họ làm những điều khó chịu với hệ thống của bạn, ngay cả khi họ đã cố gắng.
Dù sao đó cũng là lý thuyết. Trong thực tế, có một lỗ hổng dường như không bao giờ kết thúc cho phép các applet Java thoát khỏi hộp cát và chạy thô sơ trên hệ thống của bạn.
Oracle nhận ra hộp cát bây giờ về cơ bản đã bị hỏng, vì vậy hộp cát về cơ bản đã chết. Họ đã từ bỏ nó. Theo mặc định, Java sẽ không còn chạy các applet không dấu của Wap. Chạy các applet không dấu không phải là vấn đề nếu hộp cát bảo mật đáng tin cậy - đó là lý do tại sao nói chung không phải là vấn đề để chạy bất kỳ nội dung Adobe Flash nào bạn tìm thấy trên web. Ngay cả khi có lỗ hổng trong Flash, chúng vẫn được sửa và Adobe không từ bỏ hộp cát của Flash.
Theo mặc định, Java sẽ chỉ tải các applet đã ký. Điều đó nghe có vẻ tốt, giống như một cải tiến bảo mật tốt. Tuy nhiên, có một hậu quả nghiêm trọng ở đây. Khi một applet Java được ký, nó được coi là tin cậy và nó không sử dụng hộp cát. Như thông điệp cảnh báo của Java đặt nó:
Ứng dụng này sẽ chạy với quyền truy cập không hạn chế, điều này có thể khiến máy tính và thông tin cá nhân của bạn gặp rủi ro.
Ngay cả applet kiểm tra phiên bản Java của riêng Oracle - một applet nhỏ đơn giản chạy Java để kiểm tra phiên bản đã cài đặt của bạn và cho bạn biết nếu bạn cần cập nhật - yêu cầu quyền truy cập hệ thống đầy đủ này. Điều đó hoàn toàn điên rồ.
Nói cách khác, Java thực sự đã từ bỏ hộp cát. Theo mặc định, bạn không thể chạy một applet Java hoặc chạy nó với toàn quyền truy cập vào hệ thống của bạn. Không có cách nào để sử dụng hộp cát trừ khi bạn điều chỉnh các cài đặt bảo mật của Java. Sandbox không đáng tin cậy đến mức mỗi bit mã Java bạn gặp trực tuyến đều cần quyền truy cập đầy đủ vào hệ thống của bạn. Bạn cũng có thể tải xuống một chương trình Java và chạy nó thay vì dựa vào trình cắm trình duyệt, điều này không cung cấp bảo mật bổ sung mà nó được thiết kế ban đầu để cung cấp.
Như một nhà phát triển Java đã giải thích: Viking Oracle đang cố tình giết chết hộp cát bảo mật Java dưới sự giả vờ cải thiện bảo mật.
Trình duyệt web đang tự tắt nó
Rất may, các trình duyệt web đang đẩy mạnh để khắc phục sự không hoạt động của Oracle. Ngay cả khi bạn đã cài đặt và kích hoạt trình cắm Java, Chrome và Firefox sẽ không tải nội dung Java theo mặc định. Họ sử dụng các trò chơi nhấp chuột để chơi nội dung của Java.
Internet Explorer vẫn tự động tải nội dung Java. Internet Explorer đã được cải thiện phần nào - cuối cùng nó đã bắt đầu chặn các điều khiển ActiveX dễ bị lỗi thời cùng với Windows Windows 8.1 tháng 8 Cập nhật (hay còn gọi là Windows 8.1 Update 2) vào tháng 8 năm 2014. Chrome và Firefox đã làm việc này lâu hơn . Internet Explorer đứng sau các trình duyệt khác ở đây - một lần nữa.
Cách vô hiệu hóa Trình cắm Java
Mọi người cần cài đặt Java ít nhất nên vô hiệu hóa trình cắm từ Bảng điều khiển java. Với các phiên bản Java gần đây, bạn có thể nhấn phím Windows một lần để mở menu Bắt đầu hoặc màn hình Bắt đầu, nhập vào Java, Java, sau đó nhấp vào phím tắt Java Cấu hình Java. Trên tab Bảo mật, bỏ chọn nội dung Java Bật Java trong tùy chọn Trình duyệt.
Ngay cả sau khi bạn tắt trình cắm, Minecraft và bất kỳ ứng dụng máy tính để bàn nào khác phụ thuộc vào Java sẽ vẫn chạy tốt. Điều này sẽ chỉ chặn các applet Java được nhúng trên các trang web.
Vâng, Java applet vẫn tồn tại trong tự nhiên. Bạn có thể sẽ tìm thấy chúng thường xuyên nhất trên các trang web nội bộ nơi một số công ty có một ứng dụng cổ được viết dưới dạng một applet Java. Nhưng các applet Java là một công nghệ đã chết và chúng đang biến mất khỏi web tiêu dùng. Họ được cho là sẽ cạnh tranh với Flash, nhưng họ đã thua. Ngay cả khi bạn cần Java, có lẽ bạn không cần trình cắm.
Công ty hoặc người dùng không thường xuyên cần trình cắm trình duyệt Java phải vào Bảng điều khiển của Java và chọn bật nó. Trình cắm phải được coi là một tùy chọn tương thích cũ.