Oracle sa che la situazione è un disastro. Hanno rinunciato alla sandbox di sicurezza del plug-in Java, originariamente progettato per proteggerti da applet Java dannose. Le applet Java sul Web ottengono l'accesso completo al tuo sistema con le impostazioni predefinite.
Il plug-in Java Browser è un disastro completo
I difensori di Java tendono a lamentarsi quando siti come il nostro scrivono che Java è estremamente insicuro. "Questo è solo il plug-in del browser", dicono, riconoscendo quanto sia rotto. Ma quel plug-in del browser non sicuro è abilitato di default in ogni singola installazione di Java. Le statistiche parlano da sole. Anche qui su How-To Geek, il 95 percento dei nostri visitatori non mobili ha il plug-in Java abilitato. E siamo un sito web che continua a dire ai nostri lettori di disinstallare Java o almeno disabilitare il plug-in.
A livello di Internet, gli studi continuano a dimostrare che la maggior parte dei computer con Java installato ha un plug-in del browser Java scaduto disponibile per devastare i siti Web dannosi. Nel 2013, uno studio condotto da Websense Security Labs ha mostrato che l'80% dei computer aveva versioni vulnerabili di Java non aggiornate. Anche gli studi più caritatevoli sono spaventosi - tendono a rivendicare più del 50% dei plug-in Java non aggiornati.
Nel 2014, il rapporto annuale sulla sicurezza di Cisco afferma che il 91% di tutti gli attacchi nel 2013 erano contro Java. Oracle cerca anche di sfruttare questo problema raggruppando la terribile Barra degli strumenti Ask e altri junkware con gli aggiornamenti Java - resta di classe, Oracle.
Oracle ha dato un'occhiata al sandboxing del plug-in Java
Il plug-in Java esegue un programma Java - o "applet Java" - incorporato in una pagina Web, simile a come funziona Adobe Flash. Poiché Java è un linguaggio complesso utilizzato per tutto, dalle applicazioni desktop al software server, il plug-in è stato originariamente progettato per eseguire questi programmi Java in una sandbox sicura. Ciò impedirebbe loro di fare cose cattive al tuo sistema, anche se ci provassero.
Questa è la teoria, comunque. In pratica, c'è un flusso di vulnerabilità apparentemente infinito che consente alle applet Java di sfuggire alla sandbox e di agire in modo approssimativo sul sistema.
Oracle si rende conto che la sandbox adesso è fondamentalmente rotta, quindi la sandbox adesso è praticamente morta. Ci hanno rinunciato. Per impostazione predefinita, Java non eseguirà più applet "unsigned". L'esecuzione di applet non firmate non dovrebbe essere un problema se la sandbox di sicurezza fosse affidabile. Ecco perché in genere non è un problema eseguire i contenuti Adobe Flash che trovi sul web. Anche se ci sono vulnerabilità in Flash, sono corretti e Adobe non si arrende alla sandboxing di Flash.
“This application will run with unrestricted access which may put your computer and personal information at risk.”
Anche l'applet di controllo della versione Java di Oracle - una semplice piccola applet che esegue Java per verificare la tua versione installata e ti dice se è necessario aggiornare - richiede questo accesso completo al sistema. È completamente pazzo.
Come ha spiegato uno sviluppatore Java: "Oracle sta intenzionalmente eliminando la sandbox di sicurezza Java con il pretesto di migliorare la sicurezza".
I browser Web lo disabilitano da soli
Per fortuna, i browser web stanno intervenendo per riparare l'inazione di Oracle. Anche se il plug-in del browser Java è installato e abilitato, Chrome e Firefox non caricheranno il contenuto Java per impostazione predefinita. Usano "click-to-play" per contenuti Java.
Internet Explorer carica ancora automaticamente il contenuto Java. Internet Explorer è in qualche modo migliorato - ha finalmente iniziato a bloccare i controlli ActiveX vulnerabili non aggiornati insieme a "Aggiornamento di Windows 8.1 di agosto" (noto anche come Windows 8.1 Update 2) ad agosto 2014. Chrome e Firefox lo hanno fatto per molto più tempo. Internet Explorer è dietro altri browser qui - di nuovo.
Come disabilitare il plug-in Java
Chiunque abbia bisogno di Java installato dovrebbe almeno disabilitare il plug-in dal pannello di controllo java. Con le versioni recenti di Java, è possibile toccare il tasto Windows una volta per aprire il menu Start o la schermata Start, digitare "Java" e quindi fare clic sul collegamento "Configure Java". Nella scheda Sicurezza, deselezionare l'opzione "Abilita contenuto Java nel browser".
Anche dopo aver disattivato il plug-in, Minecraft e qualsiasi altra applicazione desktop che dipende da Java funzionerà correttamente. Questo bloccherà solo le applet Java incorporate nelle pagine web.
Sì, le applet Java esistono ancora in natura. Probabilmente li troverai più frequentemente su siti interni in cui alcune aziende hanno un'applicazione antica scritta come applet Java. Ma le applet Java sono una tecnologia morta e stanno scomparendo dal web del consumatore. Dovevano competere con Flash, ma hanno perso. Anche se hai bisogno di Java, probabilmente non hai bisogno del plug-in.
L'azienda o l'utente occasionale che ha bisogno del plug-in del browser Java dovrebbe entrare nel Pannello di controllo di Java e scegliere di abilitarlo. Il plug-in deve essere considerato un'opzione di compatibilità legacy.
