Oracle знает, что это катастрофа. Они отказались от изолированной программной среды подключаемого модуля Java, изначально разработанной для защиты от вредоносных апплетов Java. Java-апплеты в Интернете получают полный доступ к вашей системе с настройками по умолчанию.
Подключаемый модуль Java Browser - это полная катастрофа
Защитники Java склонны жаловаться, когда такие сайты, как наши, пишут, что Java крайне небезопасна. «Это всего лишь плагин для браузера», - говорят они, признавая, насколько он сломан. Но этот незащищенный плагин для браузера включен по умолчанию в каждой отдельной установке Java. Статистика говорит сама за себя. Даже здесь, в How-To Geek, 95 процентов наших немобильных посетителей имеют подключаемый модуль Java. И мы являемся веб-сайтом, который продолжает рассказывать нашим читателям об удалении Java или, по крайней мере, отключать подключаемый модуль.
В Интернете все исследования показывают, что на большинстве компьютеров с установленной Java есть устаревший плагин для браузера Java, доступный для взлома вредоносных веб-сайтов. В 2013 году исследование, проведенное лабораториями Websense Security Labs, показало, что 80 процентов компьютеров имеют устаревшие уязвимые версии Java. Даже самые благотворительные исследования страшны - они склонны утверждать, что более 50% плагинов Java устарели.
В 2014 году ежегодный отчет Cisco о безопасности показал, что 91% всех атак в 2013 году были против Java. Oracle даже пытается воспользоваться этой проблемой, объединив страшную панель инструментов Ask и другую junkware с обновлениями Java - оставайтесь классными, Oracle.
Oracle вышла на песочницу Java Plug-in
Плагин Java запускает Java-программу - или «Java-апплет» - внедренную на веб-страницу, похожую на то, как работает Adobe Flash. Поскольку Java - это сложный язык, используемый для всего: от настольных приложений до серверных программ, плагин изначально был предназначен для запуска этих программ Java в безопасной изолированной программной среде. Это помешало бы им совершать неприятные вещи в вашей системе, даже если бы они пытались.
Во всяком случае, это теория. На практике существует, по-видимому, бесконечный поток уязвимостей, позволяющий апплетам Java сбегать от песочницы и работать с грубой ошибкой в вашей системе.
Oracle понимает, что песочница теперь в основном сломана, поэтому песочница теперь в основном мертва. Они отказались от этого. По умолчанию Java больше не будет запускать «unsigned» апплеты. Запуск неподписанных апплетов не должен быть проблемой, если безопасная песочница заслуживает доверия - поэтому обычно не проблема запускать любой контент Adobe Flash, который вы найдете в Интернете. Даже если в Flash есть уязвимости, они исправлены, и Adobe не отказывается от песочницы Flash.
“This application will run with unrestricted access which may put your computer and personal information at risk.”
Даже собственный API-интерфейс проверки версии Java для Oracle - простой маленький апплет, который запускает Java для проверки вашей установленной версии и сообщает вам, нужно ли обновлять ее, - требует полного доступа к системе. Это совершенно безумно.
Как пояснил один разработчик Java: «Oracle намеренно убивает изолированную среду безопасности Java под предлогом улучшения безопасности».
Веб-браузеры отключают его самостоятельно
К счастью, веб-браузеры вступают, чтобы исправить бездействие Oracle. Даже если у вас установлен и включен плагин для браузера Java, Chrome и Firefox не будут загружать контент Java по умолчанию. Они используют «click-to-play» для контента Java.
Internet Explorer по-прежнему автоматически загружает контент Java. Internet Explorer несколько улучшился - в августе 2014 года он начал блокировать устаревшие уязвимые элементы ActiveX, а также «Обновление Августа Августа» (например, Windows 8.1 Update 2). Chrome и Firefox делают это намного дольше, Internet Explorer позади других браузеров здесь - снова.
Как отключить Java-модуль
Каждый, кто нуждается в установке Java, должен по крайней мере отключить плагин из панели управления java. В последних версиях Java вы можете нажать клавишу Windows один раз, чтобы открыть меню «Пуск» или «Пуск», введите «Java», а затем щелкните ярлык «Настроить Java». На вкладке «Безопасность» снимите флажок «Включить контент Java в браузере».
Даже после отключения плагина Minecraft и любое другое настольное приложение, зависящее от Java, будет работать отлично. Это будет блокировать Java-апплеты, внедренные на веб-страницах.
Да, Java-апплеты все еще существуют в дикой природе. Вероятно, вы найдете их наиболее часто на внутренних сайтах, где у какой-то компании есть древнее приложение, написанное как апплет Java. Но Java-апплеты - это мертвая технология, и они исчезают из потребительской сети. Они должны были конкурировать с Flash, но они проиграли. Даже если вам нужна Java, вам, вероятно, не нужен плагин.
Иногда компания или пользователь, которому нужен плагин для браузера Java, должны войти в панель управления Java и выбрать ее включить. Плагин следует считать устаревшим вариантом совместимости.