it.phhsnews.com


it.phhsnews.com / Oracle non può proteggere il plug-in Java, quindi perché è ancora abilitato per impostazione predefinita?

Oracle non può proteggere il plug-in Java, quindi perché è ancora abilitato per impostazione predefinita?


Java era responsabile del 91% di tutti i compromessi del computer nel 2013. La maggior parte delle persone non solo ha il plug-in del browser Java è abilitato, stanno utilizzando una versione vulnerabile non aggiornata. Ehi, Oracle: è ora di disabilitare quel plug-in per impostazione predefinita.

Oracle sa che la situazione è un disastro. Hanno rinunciato alla sandbox di sicurezza del plug-in Java, originariamente progettato per proteggerti da applet Java dannose. Le applet Java sul web ottengono l'accesso completo al tuo sistema con le impostazioni predefinite.

Il plug-in Java Browser è un disastro completo

I difensori di Java tendono a lamentarsi ogni volta che siti come il nostro scrivono che Java è estremamente insicuro. "Questo è solo il plug-in del browser", dicono, riconoscendo quanto sia rotto. Ma quel plug-in del browser non sicuro è abilitato di default in ogni singola installazione di Java. Le statistiche parlano da sole. Anche qui su How-To Geek, il 95 percento dei nostri visitatori non mobili ha il plug-in Java abilitato. E siamo un sito web che continua a dire ai nostri lettori di disinstallare Java o almeno disabilitare il plug-in.

A livello di Internet, gli studi continuano a mostrare che la maggior parte dei computer con Java installato ha un browser Java scaduto plug-in disponibile per devastare siti Web dannosi. Nel 2013, uno studio condotto da Websense Security Labs ha mostrato che l'80% dei computer aveva versioni vulnerabili di Java non aggiornate. Anche gli studi più caritatevoli sono spaventosi - tendono a rivendicare più del 50% dei plug-in Java non aggiornati.

Nel 2014, il rapporto annuale sulla sicurezza di Cisco ha dichiarato che il 91% di tutti gli attacchi nel 2013 erano contro Java. Oracle tenta persino di sfruttare questo problema raggruppando la terribile Barra degli strumenti Ask e altri junkware con gli aggiornamenti Java - resta di classe, Oracle.

Oracle Gave Up sul sandboxing del plug-in Java

Il plug-in Java esegue un Programma Java - o "applet Java" - incorporato in una pagina Web, simile a come funziona Adobe Flash. Poiché Java è un linguaggio complesso utilizzato per tutto, dalle applicazioni desktop al software server, il plug-in è stato originariamente progettato per eseguire questi programmi Java in una sandbox sicura. Ciò impedirebbe loro di fare cose cattive al tuo sistema, anche se ci provassero.

Questa è la teoria, comunque. In pratica, c'è un flusso di vulnerabilità apparentemente infinito che consente alle applet Java di uscire dalla sandbox e di eseguire il metodo sul sistema.

Oracle si rende conto che la sandbox è fondamentalmente danneggiata, quindi la sandbox è praticamente morta. Ci hanno rinunciato. Per impostazione predefinita, Java non eseguirà più applet "unsigned". L'esecuzione di applet non firmate non dovrebbe essere un problema se la sandbox di sicurezza fosse affidabile. Ecco perché in genere non è un problema eseguire i contenuti Adobe Flash che trovi sul web. Anche se ci sono vulnerabilità in Flash, sono corretti e Adobe non si arrende alla sandboxing di Flash.

Per impostazione predefinita, Java caricherà solo applet firmate. Suona bene, come un buon miglioramento della sicurezza. Tuttavia, qui c'è una grave conseguenza. Quando viene firmata un'applet Java, viene considerata "attendibile" e non utilizza la sandbox. Come dice il messaggio di avviso di Java:

"Questa applicazione funzionerà con accesso illimitato che potrebbe mettere a rischio il tuo computer e le tue informazioni personali."

Anche l'applet di controllo della versione Java di Oracle - una semplice piccola applet che esegue Java per controllare la tua versione installata e ti dice se è necessario aggiornare - richiede questo accesso completo al sistema. Questo è completamente folle.

In altre parole, Java ha davvero rinunciato alla sandbox. Per impostazione predefinita, non puoi eseguire un applet Java o eseguirlo con pieno accesso al tuo sistema. Non c'è modo di usare la sandbox a meno di non modificare le impostazioni di sicurezza di Java. La sandbox è così inaffidabile che ogni bit del codice Java che incontri online richiede pieno accesso al tuo sistema. Potresti anche scaricare un programma Java ed eseguirlo piuttosto che fare affidamento sul plug-in del browser, che non offre la sicurezza aggiuntiva che era stata originariamente progettata per fornire.

Come ha spiegato uno sviluppatore Java: "Oracle sta intenzionalmente eliminando la sandbox di sicurezza Java con il pretesto di migliorare la sicurezza."

I browser Web la disattivano da soli

Fortunatamente, i browser Web stanno intervenendo per riparare l'inazione di Oracle. Anche se il plug-in del browser Java è installato e abilitato, Chrome e Firefox non caricheranno il contenuto Java per impostazione predefinita. Utilizzano "click-to-play" per contenuti Java.

Internet Explorer carica ancora automaticamente il contenuto Java. Internet Explorer è in qualche modo migliorato - ha finalmente iniziato a bloccare i controlli ActiveX vulnerabili non aggiornati insieme a "Aggiornamento di Windows 8.1 di agosto" (noto anche come Windows 8.1 Update 2) ad agosto 2014. Chrome e Firefox lo hanno fatto per molto più tempo . Internet Explorer è dietro altri browser qui - di nuovo.

Come disabilitare il plug-in Java

Chiunque abbia bisogno di Java installato dovrebbe almeno disabilitare il plug-in dal pannello di controllo java. Con le versioni recenti di Java, è possibile toccare il tasto Windows una volta per aprire il menu Start o la schermata Start, digitare "Java" e quindi fare clic sul collegamento "Configure Java". Nella scheda Sicurezza, deseleziona l'opzione "Abilita contenuto Java nel browser".

Anche dopo aver disattivato il plug-in, Minecraft e qualsiasi altra applicazione desktop che dipende da Java funzionerà correttamente. Ciò bloccherà solo le applet Java incorporate nelle pagine Web.


Sì, le applet Java esistono ancora in natura. Probabilmente li troverai più frequentemente su siti interni in cui alcune aziende hanno un'applicazione antica scritta come applet Java. Ma le applet Java sono una tecnologia morta e stanno scomparendo dal web del consumatore. Dovevano competere con Flash, ma hanno perso. Anche se hai bisogno di Java, probabilmente non hai bisogno del plug-in.

L'azienda o l'utente occasionale che ha bisogno del plug-in del browser Java dovrebbe entrare nel pannello di controllo di Java e scegliere di abilitarlo. Il plug-in deve essere considerato un'opzione di compatibilità legacy.


Come prendere screenshot sul tuo Apple Watch

Come prendere screenshot sul tuo Apple Watch

Stai scoprendo che il tuo Apple Watch è davvero utile e vuoi condividere cose come i tuoi risultati di fitness e attività, il tuo quadrante personalizzato, i messaggi che ricevi e quasi qualsiasi altra cosa sul tuo schermo. Fortunatamente, è davvero facile fare uno screenshot del tuo orologio. A partire da watchOS 3, devi abilitare la funzione screenshot sul tuo orologio.

(how-to)

Come disattivare il fastidioso Verizon FIOS Widget

Come disattivare il fastidioso Verizon FIOS Widget "Promozioni"

Verizon FIOS ha un sacco di grandi caratteristiche, ma i suoi set-top box hanno un difetto odioso: ogni volta che non li hai usati in un istante caricano fastidiosi annunci di widget che richiedono sempre un caricamento e richiedono di uscire. Ecco come disabilitarli. Non avremmo nemmeno un problema con questo - siamo un sito supportato dalla pubblicità, dopo tutto - ma questi annunci possono a volte richiedere un minuto per essere caricati, e il set-top box si blocca e non risponderà durante il tentativo di caricare gli annunci.

(how-to)