Java era responsabile del 91% di tutti i compromessi del computer nel 2013. La maggior parte delle persone non solo ha il plug-in del browser Java è abilitato, stanno utilizzando una versione vulnerabile non aggiornata. Ehi, Oracle: è ora di disabilitare quel plug-in per impostazione predefinita.
Oracle sa che la situazione è un disastro. Hanno rinunciato alla sandbox di sicurezza del plug-in Java, originariamente progettato per proteggerti da applet Java dannose. Le applet Java sul web ottengono l'accesso completo al tuo sistema con le impostazioni predefinite.
I difensori di Java tendono a lamentarsi ogni volta che siti come il nostro scrivono che Java è estremamente insicuro. "Questo è solo il plug-in del browser", dicono, riconoscendo quanto sia rotto. Ma quel plug-in del browser non sicuro è abilitato di default in ogni singola installazione di Java. Le statistiche parlano da sole. Anche qui su How-To Geek, il 95 percento dei nostri visitatori non mobili ha il plug-in Java abilitato. E siamo un sito web che continua a dire ai nostri lettori di disinstallare Java o almeno disabilitare il plug-in.
A livello di Internet, gli studi continuano a mostrare che la maggior parte dei computer con Java installato ha un browser Java scaduto plug-in disponibile per devastare siti Web dannosi. Nel 2013, uno studio condotto da Websense Security Labs ha mostrato che l'80% dei computer aveva versioni vulnerabili di Java non aggiornate. Anche gli studi più caritatevoli sono spaventosi - tendono a rivendicare più del 50% dei plug-in Java non aggiornati.
Nel 2014, il rapporto annuale sulla sicurezza di Cisco ha dichiarato che il 91% di tutti gli attacchi nel 2013 erano contro Java. Oracle tenta persino di sfruttare questo problema raggruppando la terribile Barra degli strumenti Ask e altri junkware con gli aggiornamenti Java - resta di classe, Oracle.
Il plug-in Java esegue un Programma Java - o "applet Java" - incorporato in una pagina Web, simile a come funziona Adobe Flash. Poiché Java è un linguaggio complesso utilizzato per tutto, dalle applicazioni desktop al software server, il plug-in è stato originariamente progettato per eseguire questi programmi Java in una sandbox sicura. Ciò impedirebbe loro di fare cose cattive al tuo sistema, anche se ci provassero.
Questa è la teoria, comunque. In pratica, c'è un flusso di vulnerabilità apparentemente infinito che consente alle applet Java di uscire dalla sandbox e di eseguire il metodo sul sistema.
Oracle si rende conto che la sandbox è fondamentalmente danneggiata, quindi la sandbox è praticamente morta. Ci hanno rinunciato. Per impostazione predefinita, Java non eseguirà più applet "unsigned". L'esecuzione di applet non firmate non dovrebbe essere un problema se la sandbox di sicurezza fosse affidabile. Ecco perché in genere non è un problema eseguire i contenuti Adobe Flash che trovi sul web. Anche se ci sono vulnerabilità in Flash, sono corretti e Adobe non si arrende alla sandboxing di Flash.
Per impostazione predefinita, Java caricherà solo applet firmate. Suona bene, come un buon miglioramento della sicurezza. Tuttavia, qui c'è una grave conseguenza. Quando viene firmata un'applet Java, viene considerata "attendibile" e non utilizza la sandbox. Come dice il messaggio di avviso di Java:
"Questa applicazione funzionerà con accesso illimitato che potrebbe mettere a rischio il tuo computer e le tue informazioni personali."
Anche l'applet di controllo della versione Java di Oracle - una semplice piccola applet che esegue Java per controllare la tua versione installata e ti dice se è necessario aggiornare - richiede questo accesso completo al sistema. Questo è completamente folle.
In altre parole, Java ha davvero rinunciato alla sandbox. Per impostazione predefinita, non puoi eseguire un applet Java o eseguirlo con pieno accesso al tuo sistema. Non c'è modo di usare la sandbox a meno di non modificare le impostazioni di sicurezza di Java. La sandbox è così inaffidabile che ogni bit del codice Java che incontri online richiede pieno accesso al tuo sistema. Potresti anche scaricare un programma Java ed eseguirlo piuttosto che fare affidamento sul plug-in del browser, che non offre la sicurezza aggiuntiva che era stata originariamente progettata per fornire.
Come ha spiegato uno sviluppatore Java: "Oracle sta intenzionalmente eliminando la sandbox di sicurezza Java con il pretesto di migliorare la sicurezza."
Fortunatamente, i browser Web stanno intervenendo per riparare l'inazione di Oracle. Anche se il plug-in del browser Java è installato e abilitato, Chrome e Firefox non caricheranno il contenuto Java per impostazione predefinita. Utilizzano "click-to-play" per contenuti Java.
Internet Explorer carica ancora automaticamente il contenuto Java. Internet Explorer è in qualche modo migliorato - ha finalmente iniziato a bloccare i controlli ActiveX vulnerabili non aggiornati insieme a "Aggiornamento di Windows 8.1 di agosto" (noto anche come Windows 8.1 Update 2) ad agosto 2014. Chrome e Firefox lo hanno fatto per molto più tempo . Internet Explorer è dietro altri browser qui - di nuovo.
Chiunque abbia bisogno di Java installato dovrebbe almeno disabilitare il plug-in dal pannello di controllo java. Con le versioni recenti di Java, è possibile toccare il tasto Windows una volta per aprire il menu Start o la schermata Start, digitare "Java" e quindi fare clic sul collegamento "Configure Java". Nella scheda Sicurezza, deseleziona l'opzione "Abilita contenuto Java nel browser".
Anche dopo aver disattivato il plug-in, Minecraft e qualsiasi altra applicazione desktop che dipende da Java funzionerà correttamente. Ciò bloccherà solo le applet Java incorporate nelle pagine Web.
Sì, le applet Java esistono ancora in natura. Probabilmente li troverai più frequentemente su siti interni in cui alcune aziende hanno un'applicazione antica scritta come applet Java. Ma le applet Java sono una tecnologia morta e stanno scomparendo dal web del consumatore. Dovevano competere con Flash, ma hanno perso. Anche se hai bisogno di Java, probabilmente non hai bisogno del plug-in.
L'azienda o l'utente occasionale che ha bisogno del plug-in del browser Java dovrebbe entrare nel pannello di controllo di Java e scegliere di abilitarlo. Il plug-in deve essere considerato un'opzione di compatibilità legacy.
Salva i file di MS Office sul PC locale invece di OneDrive
Nella versione desktop di Office e in Office 365, se si è effettuato l'accesso utilizzando il proprio account Microsoft, si tenterà di salvare il file sul proprio account OneDrive per impostazione predefinita. Questa è una nuova funzionalità che è stata avviata in Office 2013 e che ha lo scopo di aiutarti a spostare i tuoi documenti nel cloud, in modo che tu possa accedervi da qualsiasi luogo e in modo che vengano sottoposti a backup in modo più sicuro.Penso
The Case Against Root: Perché i dispositivi Android non vengono radicati
Abbiamo già scritto sul rooting degli smartphone e tablet Android, ma perché non vengono radicati? Google sostiene che il rooting è un errore per motivi di sicurezza, in quanto sovverte il modello di sicurezza di Android. Nel corso degli anni, Google ha aggiunto sempre più funzionalità di root solo ad Android: dalle schermate al supporto per la crittografia e le VPN.