If-Koubou

Oracle Tidak Dapat Mengamankan Java Plug-in, Jadi Mengapa Masih Diaktifkan Secara Default?

Oracle Tidak Dapat Mengamankan Java Plug-in, Jadi Mengapa Masih Diaktifkan Secara Default? (Bagaimana caranya)

Java bertanggung jawab atas 91 persen dari semua kompromi komputer pada tahun 2013. Kebanyakan orang tidak hanya memiliki plug-in Java browser diaktifkan - mereka menggunakan versi yang sudah usang dan rentan. Hai, Oracle - saatnya untuk menonaktifkan plug-in itu secara default.

Oracle tahu situasinya adalah bencana. Mereka sudah menyerah pada kotak pasir keamanan plug-in Java, awalnya dirancang untuk melindungi Anda dari applet Java berbahaya. Applet Java di web mendapatkan akses lengkap ke sistem Anda dengan pengaturan default.

Java Browser Plug-in adalah Bencana Lengkap

Pembela Jawa cenderung mengeluh setiap kali situs seperti kami menulis bahwa Java sangat tidak aman. "Itu hanya plug-in browser," kata mereka - mengakui betapa rusaknya itu. Tapi itu plug-in browser yang tidak aman diaktifkan secara default di setiap instalasi Java di luar sana. Statistik berbicara sendiri. Bahkan di sini di How-To Geek, 95 persen pengunjung non-seluler kami memiliki plug-in Java yang diaktifkan. Dan kami adalah situs web yang terus memberitahu pembaca kami untuk menghapus Java atau setidaknya menonaktifkan plug-in.

Internet luas, penelitian tetap menunjukkan bahwa mayoritas komputer dengan Java yang diinstal memiliki plug-in browser Java yang sudah tidak tersedia untuk situs web jahat untuk dihancurkan. Pada 2013, sebuah studi oleh Websense Security Labs menunjukkan bahwa 80 persen komputer memiliki versi Jawa yang sudah usang dan rentan. Bahkan studi yang paling amoral pun menakutkan - mereka cenderung mengklaim lebih dari 50 persen plug-in Java sudah ketinggalan zaman.

Pada tahun 2014, laporan keamanan tahunan Cisco mengatakan 91 persen dari semua serangan pada 2013 melawan Jawa. Oracle bahkan mencoba untuk mengambil keuntungan dari masalah ini dengan menggabungkan Ask Toolbar yang mengerikan dan junkware lainnya dengan pembaruan Java - tetap berkelas, Oracle.

Oracle Gave Up di Java Plug-in's Sandboxing

Java plug-in menjalankan program Java - atau "Java applet" - tertanam pada halaman web, mirip dengan cara kerja Adobe Flash. Karena Java adalah bahasa kompleks yang digunakan untuk segala hal mulai dari aplikasi desktop hingga perangkat lunak server, plug-in pada awalnya dirancang untuk menjalankan program Java ini di kotak pasir yang aman. Ini akan mencegah mereka melakukan hal-hal buruk ke sistem Anda, bahkan jika mereka mencoba.

Itulah teorinya. Dalam prakteknya, ada aliran kerentanan yang tampaknya tidak pernah berakhir yang memungkinkan applet Java untuk melarikan diri dari kotak pasir dan menjalankan kekasaran atas sistem Anda.

Oracle menyadari bahwa sandbox sekarang pada dasarnya rusak, sehingga kotak pasir sekarang pada dasarnya mati. Mereka sudah menyerah. Secara default, Java tidak akan lagi menjalankan applet "unsigned". Menjalankan apl yang tidak bertanda tangan seharusnya tidak menjadi masalah jika kotak pasir keamanan dapat dipercaya - itulah sebabnya umumnya tidak masalah untuk menjalankan konten Adobe Flash apa pun yang Anda temukan di web. Bahkan jika ada kerentanan dalam Flash, mereka tetap dan Adobe tidak menyerah pada sandboxing Flash.

Secara default, Java hanya akan memuat applet yang sudah ditandatangani. Kedengarannya bagus, seperti peningkatan keamanan yang baik. Namun, ada konsekuensi serius di sini. Ketika applet Java ditandatangani, itu dianggap "tepercaya" dan tidak menggunakan kotak pasir. Seperti pesan peringatan Java yang menempatkannya:

"Aplikasi ini akan berjalan dengan akses tidak terbatas yang dapat membahayakan komputer dan informasi pribadi Anda."

Bahkan Java check applet versi Oracle sendiri - applet kecil sederhana yang menjalankan Java untuk memeriksa versi yang Anda instal dan memberi tahu Anda jika Anda perlu memperbarui - membutuhkan akses sistem penuh ini. Itu benar-benar gila.

Dengan kata lain, Java benar-benar menyerah di kotak pasir. Secara default, Anda tidak dapat menjalankan applet Java atau menjalankannya dengan akses penuh ke sistem Anda. Tidak ada cara untuk menggunakan kotak pasir kecuali Anda mengubah pengaturan keamanan Java. Kotak pasir sangat tidak dapat dipercaya sehingga setiap kode Java yang Anda temui secara online membutuhkan akses penuh ke sistem Anda. Anda mungkin juga mengunduh program Java dan menjalankannya daripada mengandalkan plug-in browser, yang tidak menawarkan keamanan tambahan yang awalnya dirancang untuk disediakan.

Seperti yang dijelaskan salah satu pengembang Java: "Oracle dengan sengaja membunuh kotak pasir keamanan Java dengan dalih meningkatkan keamanan."

Browser Web Menonaktifkan Ini Sendiri

Untungnya, browser web sedang melangkah untuk memperbaiki kelambanan Oracle. Bahkan jika Anda telah menginstal dan mengaktifkan plug-in browser Java, Chrome dan Firefox tidak akan memuat konten Java secara default. Mereka menggunakan "click-to-play" untuk konten Java.

Internet Explorer masih secara otomatis memuat konten Java. Internet Explorer agak membaik - akhirnya mulai memblokir kontrol ActiveX yang rawan dan usang bersama dengan "Pembaruan Windows 8.1 Agustus" (alias Windows 8.1 Update 2) pada bulan Agustus 2014. Chrome dan Firefox telah melakukan ini lebih lama lagi. . Internet Explorer berada di belakang peramban lain di sini - lagi.

Cara Menonaktifkan Java Plug-in

Setiap orang yang membutuhkan Java diinstal setidaknya harus menonaktifkan plug-in dari Java Control Panel. Dengan versi Java terbaru, Anda dapat mengetuk tombol Windows satu kali untuk membuka menu Mulai atau layar Mulai, ketik "Java," lalu klik pintasan "Konfigurasi Java". Pada tab Keamanan, hapus centang opsi "Aktifkan konten Java di browser".

Bahkan setelah Anda menonaktifkan plug-in, Minecraft dan aplikasi desktop lainnya yang bergantung pada Java akan berjalan baik-baik saja. Ini hanya akan memblokir applet Java yang disematkan di halaman web.

Ya, applet Java masih ada di alam liar. Anda mungkin akan menemukannya paling sering di situs internal di mana beberapa perusahaan memiliki aplikasi kuno yang ditulis sebagai applet Java. Tetapi applet Java adalah teknologi mati dan mereka menghilang dari web konsumen. Mereka seharusnya bersaing dengan Flash, tetapi mereka kalah.Bahkan jika Anda membutuhkan Java, Anda mungkin tidak memerlukan plug-in.

Kadang-kadang perusahaan atau pengguna yang membutuhkan plug-in browser Java harus masuk ke Control Panel Java dan memilih untuk mengaktifkannya. Plug-in harus dianggap sebagai opsi kompatibilitas lama.