Java fue responsable de 91 por ciento de todos los compromisos de computadoras en 2013. La mayoría de la gente no sólo tiene el plug-in de Java habilitado - que están usando una fecha fuera de la versión vulnerable. Hey, Oracle - es el momento de desactivar ese plug-in de forma predeterminada.
Oracle sabe que la situación es un desastre. Ellos han dado para arriba en el entorno limitado de seguridad de Java Plug-in, diseñado originalmente para protegerse de los applets de Java maliciosos. Consiguen los applets de Java en la web el acceso completo al sistema con la configuración predeterminada.
El navegador de Java Plug-in es un completo desastre
Defensores de Java tienden a quejarse cada vez que sitios como el nuestro escriben que Java es muy inseguro. "Eso es sólo el navegador plug-in", dicen - reconocer lo mal que es. Pero ese navegador inseguro plug-in está activado por defecto en todas las instalaciones de un solo de Java por ahí. Las estadísticas hablan por sí solas. Incluso aquí, en How-To Geek, el 95 por ciento de nuestros visitantes no móviles tienen el complemento de Java habilitado. Y somos un sitio web que sigue diciendo a nuestros lectores a desinstalar Java o al menos deshabilitar el plug-in .
En todo el Internet, los estudios siguen mostrando que la mayoría de los equipos con Java instalado tiene un plug-in fuera de fecha navegador Java disponibles para los sitios web maliciosos que asolan. En 2013, un estudio realizado por Websense Security Labs mostró que el 80 por ciento de las computadoras tenía fuera de la fecha, versiones vulnerables de Java.Incluso los estudios más caritativos son de miedo - que tienden a reclamar más del 50 por ciento de Java plug-ins están fuera de fecha.
En 2014, el informe anual de seguridad de Cisco dijo que el 91 por ciento de todos los ataques en 2013 estaban en contra de Java. Oracle incluso intenta aprovecharse de este problema agrupando la terrible Barra Ask y otra junkware con actualizaciones de Java - estancia con clase, Oracle.
Oracle dimos por vencidos en la Sandboxing Java Plug-in
El plug-in Java se ejecuta un programa Java - o "applet de Java" - incrustado en una página web, de forma similar a cómo funciona Adobe Flash. Debido a que Java es un lenguaje complejo utilizado para todo, desde aplicaciones de escritorio de software de servidor, el plug-in fue diseñado originalmente para ejecutar estos programas Java en una caja de arena segura . Esto les impediría hacer cosas desagradables a su sistema, incluso si lo intentaran.
Esa es la teoría, de todos modos. En la práctica, hay un flujo aparentemente interminable de vulnerabilidades que permiten a los applets de Java para escapar de la caja de arena y atropellar a su sistema.
Oracle da cuenta de la caja de arena está ahora básicamente roto, por lo que la caja de arena es ahora, básicamente muerto. Ellos han dado para arriba en él. De forma predeterminada, Java ya no ejecutar applets "sin firmar". Ejecución de applets no firmados no debería ser un problema si el entorno limitado de seguridad era digno de confianza - es por eso por lo general no es un problema para ejecutar cualquier contenido Adobe Flash que encuentres en la web. Incluso si hay vulnerabilidades en Flash, que están fijados y Adobe no da para arriba en caja de arena del flash.
De forma predeterminada, Java sólo cargará applets firmados. Eso suena muy bien, al igual que una buena mejora de la seguridad. Sin embargo, hay una consecuencia grave aquí. Cuando se firma un applet de Java, se considera "de confianza" y que no utiliza la caja de arena. Como mensaje de advertencia de Java pone:
"Esta aplicación se ejecutará con un acceso sin restricciones que puede poner el equipo y la información personal en situación de riesgo."
Incluso el propio Java applet de comprobación de versión de Oracle - un pequeño applet de Java simple que funciona para comprobar su versión instalada y te dice si necesita actualizar - requiere este acceso completo del sistema. Eso es completamente loco.
En otras palabras, Java realmente ha renunciado a la caja de arena. De forma predeterminada, o bien no se puede ejecutar un applet de Java o ejecutarlo con pleno acceso a su sistema. No hay manera de usar la caja de arena a menos que ajustar la configuración de seguridad de Java.La caja de arena es tan poco fiable que cada bit de código Java se encuentra con línea necesita acceso completo a su sistema. Es lo mismo que acaba de descargar un programa Java y ejecutarlo en lugar de confiar en el plug-in de navegador, que no ofrece la seguridad adicional que originalmente fue diseñado para proporcionar.
Como un desarrollador de Java , explicó : "Oracle está matando intencionadamente fuera del entorno limitado de seguridad de Java bajo el pretexto de mejorar la seguridad."
Los navegadores web son incapacitantes por su cuenta
Afortunadamente, los navegadores web están interviniendo para solucionar la falta de acción de Oracle. Incluso si usted tiene instalado el plug-in de Java y habilitado, Chrome y Firefox no se carga el contenido de Java por defecto. Utilizan "click-to-play" para el contenido Java.
Internet Explorer sigue carga automáticamente el contenido Java. Internet Explorer ha mejorado un poco - que finalmente comenzó el bloqueo fuera de fecha, ActiveX vulnerable controla junto con el "8.1 Actualización agosto de Windows" (alias de Windows 8.1 Update 2) en agosto de 2014. Chrome y Firefox han estado haciendo esto por mucho tiempo . Internet Explorer está detrás de otros navegadores aquí - de nuevo.
Cómo deshabilitar el Java Plug-in
Todo el mundo que necesita Java instalado al menos debería desactivar el plug-in desde el Panel de control de Java. Con las últimas versiones de Java, puede pulsar la tecla Windows una vez para abrir el menú Inicio o la pantalla Inicio, escriba "Java", y luego haga clic en el acceso directo "Configurar Java". En la ficha Seguridad, desactive la opción "Habilitar contenido Java en el navegador" opción.
Incluso después de deshabilitar el plug-in, Minecraft y cualquier otra aplicación de escritorio que depende de Java se ejecutarán bien. Esto sólo bloquear los applets de Java embebidos en páginas web.
Sí, applets de Java aún existen en la naturaleza. Es probable que encuentres ellos con mayor frecuencia en los sitios internos en alguna empresa tiene una antigua solicitud escrita como un applet de Java. Pero los applets de Java son una tecnología muerto y que están desapareciendo de la web de los consumidores. Se suponía que iban a competir con Flash, pero perdieron.Incluso si usted necesita Java, es probable que no necesita el plug-in.
La compañía ocasional o usuario que necesita el plug-in de Java deberían tener que ir a Panel de control de Java y elegir para habilitarlo. El plug-in se debe considerar una opción de compatibilidad legado.
