Oracle kan de Java-plug-in niet beveiligen, dus waarom is deze nog steeds standaard ingeschakeld?

oracle-can-and-8217;t-secure-the-java-plugin-dus-waarom-is-het-nog-standaard-ingeschakeld foto 1

Java was in 2013 verantwoordelijk voor 91 procent van alle computerinbraken. De meeste mensen hebben niet alleen de Java-browserplug-in ingeschakeld, ze gebruiken ook een verouderde, kwetsbare versie. Hé, Oracle - het is tijd om die plug-in standaard uit te schakelen.

Oracle weet dat de situatie een ramp is. Ze hebben de beveiligingssandbox van de Java-plug-in opgegeven, oorspronkelijk ontworpen om u te beschermen tegen kwaadaardige Java-applets. Java-applets op het web krijgen volledige toegang tot uw systeem met de standaardinstellingen.



De Java Browser Plug-in is een complete ramp

Verdedigers van Java hebben de neiging om te klagen wanneer sites zoals de onze schrijven dat Java extreem onveilig is. Dat is gewoon de browser-plug-in, zeggen ze - erkennend hoe kapot het is. Maar die onveilige browserinvoegtoepassing is standaard ingeschakeld in elke afzonderlijke installatie van Java die er is. De statistieken spreken voor zich. Zelfs hier bij How-To Geek heeft 95 procent van onze niet-mobiele bezoekers de Java-plug-in ingeschakeld. En we zijn een website die onze lezers blijft vertellen Java te verwijderen of op zijn minst de plug-in uit te schakelen.

Onderzoeken over het hele internet tonen steeds weer aan dat de meeste computers waarop Java is geïnstalleerd, een verouderde Java-browserplug-in hebben die kwaadwillende websites kunnen verwoesten. In 2013 toonde een onderzoek van Websense Security Labs aan dat 80 procent van de computers verouderde, kwetsbare versies van Java had. Zelfs de meest charitatieve onderzoeken zijn angstaanjagend - ze beweren vaak dat meer dan 50 procent van de Java-plug-ins verouderd zijn.

In 2014 zei Cisco's jaarlijkse beveiligingsrapport dat 91 procent van alle aanvallen in 2013 gericht waren tegen Java. Oracle probeert zelfs van dit probleem te profiteren door de vreselijke Ask Toolbar en andere junkware te bundelen met Java-updates - blijf stijlvol, Oracle.

oracle-can-and-8217;t-secure-the-java-plugin-dus-waarom-is-het-nog-standaard-ingeschakeld foto 2

Oracle gaf de sandboxing van de Java-plug-in op

De Java-plug-in voert een Java-programma - of Java-applet - uit dat op een webpagina is ingesloten, vergelijkbaar met hoe Adobe Flash werkt. Omdat Java een complexe taal is die voor alles wordt gebruikt, van desktoptoepassingen tot serversoftware, is de plug-in oorspronkelijk ontworpen om deze Java-programma's in een veilige sandbox uit te voeren. Dit zou voorkomen dat ze vervelende dingen met je systeem doen, zelfs als ze het zouden proberen.

Dat is in ieder geval de theorie. In de praktijk is er een schijnbaar eindeloze stroom van kwetsbaarheden waardoor Java-applets uit de sandbox kunnen ontsnappen en ruw over je systeem kunnen lopen.

Oracle realiseert zich dat de sandbox nu in principe kapot is, dus de sandbox is nu eigenlijk dood. Ze hebben het opgegeven. Standaard voert Java geen niet-ondertekende applets meer uit. Het uitvoeren van niet-ondertekende applets zou geen probleem moeten zijn als de beveiligingssandbox betrouwbaar was - daarom is het over het algemeen geen probleem om Adobe Flash-inhoud uit te voeren die u op internet vindt. Zelfs als er kwetsbaarheden in Flash zijn, zijn ze opgelost en Adobe geeft de sandboxing van Flash niet op.

oracle-can-and-8217;t-secure-the-java-plugin-dus-waarom-is-het-nog-standaard-ingeschakeld foto 3

Standaard laadt Java alleen ondertekende applets. Dat klinkt goed, als een goede verbetering van de beveiliging. Er is hier echter een ernstig gevolg. Wanneer een Java-applet is ondertekend, wordt deze als vertrouwd beschouwd en wordt de sandbox niet gebruikt. Zoals het waarschuwingsbericht van Java het stelt:

Deze applicatie wordt uitgevoerd met onbeperkte toegang waardoor uw computer en persoonlijke informatie in gevaar kunnen komen.

Zelfs Oracle's eigen Java-versiecontrole-applet - een eenvoudige kleine applet die Java uitvoert om uw geïnstalleerde versie te controleren en u vertelt of u moet updaten - vereist deze volledige systeemtoegang. Dat is helemaal krankzinnig.

oracle-can-and-8217;t-secure-the-java-plugin-dus-waarom-is-het-nog-standaard-ingeschakeld foto 4

Met andere woorden, Java heeft de sandbox echt opgegeven. Standaard kunt u geen Java-applet uitvoeren of deze uitvoeren met volledige toegang tot uw systeem. Er is geen manier om de sandbox te gebruiken, tenzij u de beveiligingsinstellingen van Java aanpast. De sandbox is zo onbetrouwbaar dat elk stukje Java-code dat je online tegenkomt volledige toegang tot je systeem nodig heeft. U kunt net zo goed een Java-programma downloaden en uitvoeren in plaats van te vertrouwen op de browserplug-in, die niet de extra beveiliging biedt waarvoor het oorspronkelijk was ontworpen.

Zoals een Java-ontwikkelaar uitlegde: Oracle doodt opzettelijk de Java-beveiligingssandbox onder het voorwendsel de beveiliging te verbeteren.

Webbrowsers schakelen het zelf uit

Gelukkig komen webbrowsers tussenbeide om de passiviteit van Oracle op te lossen. Zelfs als u de Java-browserinvoegtoepassing hebt geïnstalleerd en ingeschakeld, laden Chrome en Firefox standaard geen Java-inhoud. Ze gebruiken click-to-play voor Java-inhoud.

Internet Explorer laadt nog steeds automatisch Java-inhoud. Internet Explorer is enigszins verbeterd - het begon eindelijk verouderde, kwetsbare ActiveX-besturingselementen te blokkeren, samen met de Windows 8.1 August Update (ook bekend als Windows 8.1 Update 2) in augustus 2014. Chrome en Firefox doen dit al veel langer. Internet Explorer staat hier achter andere browsers - alweer.

oracle-can-and-8217;t-secure-the-java-plugin-dus-waarom-is-het-nog-standaard-ingeschakeld foto 5

Hoe de Java-plug-in uit te schakelen?

Iedereen die Java moet installeren, moet de plug-in op zijn minst uitschakelen via het java-configuratiescherm. Bij recente versies van Java kunt u eenmaal op de Windows-toets tikken om het menu Start of het startscherm te openen, Java in te typen en vervolgens op de snelkoppeling Java configureren te klikken. Schakel op het tabblad Beveiliging de optie Java-inhoud in de browser inschakelen uit.

Zelfs nadat u de plug-in hebt uitgeschakeld, werken Minecraft en elke andere desktoptoepassing die afhankelijk is van Java prima. Dit blokkeert alleen Java-applets die zijn ingesloten op webpagina's.

oracle-can-and-8217;t-secure-the-java-plugin-dus-waarom-is-het-nog-standaard-ingeschakeld foto 6


Ja, Java-applets bestaan ​​nog steeds in het wild. Je zult ze waarschijnlijk het vaakst vinden op interne sites waar een bedrijf een oude applicatie heeft die is geschreven als een Java-applet. Maar Java-applets zijn een dode technologie en ze verdwijnen van het consumentenweb. Ze zouden moeten concurreren met Flash, maar ze verloren. Zelfs als je Java nodig hebt, heb je de plug-in waarschijnlijk niet nodig.

Het occasionele bedrijf of de gebruiker die de Java-browserplug-in nodig heeft, moet naar het Configuratiescherm van Java gaan en ervoor kiezen om het in te schakelen. De plug-in moet worden beschouwd als een oudere compatibiliteitsoptie.

Meer verhalen

Veroorzaken S-Video-kabels kanker?

Afhankelijk van waar u woont, kunt u een gezondheidswaarschuwing krijgen wanneer u bepaalde hardwarecomponenten voor uw computer online koopt. Is dit iets om je zorgen over te maken of juist niet? De SuperUser Q&A-post van vandaag bespreekt een dergelijk incident om de vraag van een nieuwsgierige lezer te helpen beantwoorden.

Geek Trivia: Vanillebonen zijn helemaal geen bonen, maar de zaaddozen van?

Denk je het antwoord te weten? Klik door om te zien of je gelijk hebt!

Hoe u eenvoudig de geformatteerde datum en tijd in Microsoft Word kunt invoegen

Er zijn verschillende redenen om de huidige datum en tijd in uw document in te voegen. Misschien wilt u het in een letter of in een kop- of voettekst invoegen. Wat de reden ook is, Word maakt het gemakkelijk om de datum en tijd in een document in te voegen.

Extensies in- of uitschakelen om uw Mac aan te passen

We kennen het concept van extensies inmiddels allemaal: door functies aan je besturingssysteem, telefoon of browser toe te voegen, wordt de functionaliteit uitgebreid. OS X heeft ook extensies, dit is wat u moet weten om ze beter voor u te laten werken.

PDF-bestanden splitsen, samenvoegen, opnieuw ordenen, markeren en ondertekenen in Windows

Windows heeft geen geïntegreerde tool zoals Preview voor Mac OS X - het wordt zelfs niet geleverd met een PDF-printer. Hier leest u hoe u PDF-bestanden kunt splitsen, samenvoegen, opnieuw ordenen, ondertekenen en markeren met de minst onaangename software die mogelijk is.

Android-apps sideloaden op uw Amazon Fire TV en Fire TV Stick

Hoewel het geen bijzonder goed geadverteerde functie is, maken de Amazon Fire TV en de Amazon Fire TV Stick het sideloaden van Android-applicaties mogelijk. Met een beetje moeite laad je eenvoudig apps op je Fire TV die niet beschikbaar zijn in de Amazon Appstore.

Geek Trivia: De Britse Royal Navy beschouwde rantsoenen van welk levensmiddel als een militair geheim?

Denk je het antwoord te weten? Klik door om te zien of je gelijk hebt!

Alle vrienden uitnodigen voor uitnodigingen voor Facebook-evenementen of ze blokkeren

Als je ooit een Facebook-evenement hebt gemaakt, weet je dat het moeilijk kan zijn om meer dan een paar vrienden tegelijk uit te nodigen. Gelukkig is er een nieuwe manier om bijna al je vrienden eenvoudig met twee klikken uit te nodigen. Wil je geen uitnodigingen voor evenementen ontvangen? Je kunt ze ook blokkeren.

Automatisch twee spaties toevoegen na een periode in Word 2013

Er was een oude typografische conventie dat het gepast is om twee spaties na een zin te gebruiken. Dit kwam omdat monospaced type een uniform uiterlijk heeft en twee spaties tussen zinnen de tekst opsplitsten en het gemakkelijker maakten om te lezen.

Hoe iMessage Group-teksten op uw iPhone te hernoemen

Iedereen is op een bepaald moment in hun leven wel eens in een groepsbericht geweest. Maar wat kun je doen als je er een aantal tegelijk hebt staan ​​en niet weet welke welke moet zijn?