de.phhsnews.com


de.phhsnews.com / Oracle kann das Java-Plug-in nicht sichern, warum ist es noch immer aktiviert?

Oracle kann das Java-Plug-in nicht sichern, warum ist es noch immer aktiviert?


Java war 2013 für 91 Prozent aller Computerkompromisse verantwortlich. Die meisten Leute haben nicht nur das Java-Browser-Plug-in ist aktiviert - sie verwenden eine veraltete, anfällige Version. Hey, Oracle - es ist Zeit, das Plug-in standardmäßig zu deaktivieren.

Oracle weiß, dass die Situation ein Desaster ist. Sie haben die Sicherheits-Sandbox des Java-Plug-ins aufgegeben, die ursprünglich dazu diente, Sie vor schädlichen Java-Applets zu schützen. Java-Applets im Web erhalten mit den Standardeinstellungen vollständigen Zugriff auf Ihr System.

Das Java-Browser-Plug-in ist ein vollständiges Disaster

Java-Deferrer neigen dazu, sich zu beschweren, wenn Websites wie uns schreiben, dass Java äußerst unsicher ist. "Das ist nur das Browser-Plug-in", sagen sie - und erkennen an, wie kaputt es ist. Aber dieses unsichere Browser-Plug-in ist standardmäßig in jeder einzelnen Java-Installation aktiviert. Die Statistik spricht für sich. Selbst bei How-To Geek haben 95 Prozent unserer nicht-mobilen Besucher das Java-Plug-in aktiviert. Und wir sind eine Website, die unseren Lesern immer wieder sagt, dass sie Java deinstallieren oder zumindest das Plug-in deaktivieren sollen.

Internet-weit zeigen Studien, dass die meisten Computer mit installiertem Java über einen veralteten Java-Browser verfügen Plug-in für bösartige Websites zu verwüsten. Im Jahr 2013 zeigte eine Studie der Websense Security Labs, dass 80 Prozent der Computer veraltete, anfällige Java-Versionen aufwiesen. Selbst die meisten gemeinnützigen Studien sind beängstigend - sie behaupten, mehr als 50 Prozent der Java-Plug-ins seien veraltet.

Im Jahr 2014 lautete der jährliche Sicherheitsbericht von Cisco, dass 91 Prozent aller Angriffe im Jahr 2013 gegen Java waren. Oracle versucht sogar, dieses Problem auszunutzen, indem es die schreckliche Ask Toolbar und andere Junkware mit Java-Updates bündelt - bleiben Sie edel, Oracle.

Oracle gab auf dem Sandboxing des Java-Plug-ins aus

Das Java-Plug-in läuft a Java-Programm - oder "Java-Applet" - eingebettet in eine Webseite, ähnlich wie Adobe Flash funktioniert. Da Java eine komplexe Sprache ist, die von Desktop-Anwendungen bis hin zu Serversoftware verwendet wird, wurde das Plug-in ursprünglich für die Ausführung dieser Java-Programme in einer sicheren Sandbox entwickelt. Das würde sie davon abhalten, böse Dinge an deinem System zu tun, selbst wenn sie es versuchten.

Das ist sowieso die Theorie. In der Praxis gibt es einen scheinbar endlosen Strom von Sicherheitslücken, die es Java-Applets erlauben, aus der Sandbox zu entkommen und das System zu überlisten.

Oracle erkennt, dass die Sandbox jetzt grundsätzlich kaputt ist, also ist die Sandbox im Grunde tot. Sie haben es aufgegeben. Standardmäßig führt Java keine "unsignierten" Applets mehr aus. Das Ausführen nicht signierter Applets sollte kein Problem darstellen, wenn die Sicherheits-Sandbox vertrauenswürdig ist. Aus diesem Grund ist es im Allgemeinen kein Problem, Adobe Flash-Inhalte im Internet auszuführen. Auch wenn es in Flash Schwachstellen gibt, sind sie behoben und Adobe gibt das Sandboxing von Flash nicht auf.

Standardmäßig lädt Java nur signierte Applets. Das klingt gut, wie eine gute Sicherheitsverbesserung. Es gibt jedoch eine ernsthafte Konsequenz hier. Wenn ein Java-Applet signiert ist, gilt es als "vertrauenswürdig" und es verwendet nicht die Sandbox. Wie die Java-Warnmeldung lautet:

"Diese Anwendung wird mit uneingeschränktem Zugriff ausgeführt, wodurch Ihr Computer und Ihre persönlichen Daten gefährdet werden können."

Sogar das Java-Applet zur Überprüfung der Java-Version - ein kleines Applet, das Java zur Überprüfung ausführt Ihre installierte Version und informiert Sie, wenn Sie aktualisieren müssen - erfordert diesen vollständigen Systemzugriff. Das ist völlig verrückt.

Mit anderen Worten, Java hat die Sandbox wirklich aufgegeben. Standardmäßig können Sie entweder kein Java-Applet ausführen oder es mit vollem Zugriff auf Ihr System ausführen. Es gibt keine Möglichkeit, die Sandbox zu verwenden, es sei denn, Sie optimieren die Java-Sicherheitseinstellungen. Die Sandbox ist so unzuverlässig, dass jeder Java-Code, den Sie online finden, vollen Zugriff auf Ihr System benötigt. Sie können auch einfach ein Java-Programm herunterladen und es ausführen, anstatt sich auf das Browser-Plug-in zu verlassen, das nicht die zusätzliche Sicherheit bietet, für die es ursprünglich vorgesehen war.

Ein Java-Entwickler erklärte: "Oracle tötet absichtlich die Java-Sicherheits-Sandbox unter dem Vorwand, die Sicherheit zu verbessern."

Web-Browser deaktivieren es selbst

Glücklicherweise treten Web-Browser ein, um die Untätigkeit von Oracle zu beheben. Selbst wenn Sie das Java-Browser-Plug-in installiert und aktiviert haben, laden Chrome und Firefox standardmäßig keine Java-Inhalte. Sie verwenden "Click-to-Play" für Java-Inhalte.

Internet Explorer lädt weiterhin Java-Inhalte automatisch. Der Internet Explorer hat sich etwas verbessert - er hat im August 2014 endlich damit begonnen, veraltete, anfällige ActiveX-Steuerelemente zusammen mit dem "Windows 8.1 August Update" (auch bekannt als Windows 8.1 Update 2) zu blockieren. Chrome und Firefox machen das schon viel länger . Der Internet Explorer ist hier wieder hinter anderen Browsern.

So deaktivieren Sie das Java Plug-in

Jeder, der Java installiert hat, sollte zumindest das Plug-In aus der Java Systemsteuerung deaktivieren. Bei neueren Versionen von Java können Sie einmal auf die Windows-Taste tippen, um das Startmenü oder den Startbildschirm zu öffnen, "Java" eingeben und dann auf die Verknüpfung "Java konfigurieren" klicken. Deaktivieren Sie auf der Registerkarte "Sicherheit" die Option "Java-Inhalt im Browser aktivieren".

Auch nach der Deaktivierung des Plug-Ins funktionieren Minecraft und jede andere von Java abhängige Desktop-Anwendung einwandfrei. Dies blockiert nur Java-Applets, die auf Webseiten eingebettet sind.


Ja, Java-Applets existieren immer noch in der freien Wildbahn. Sie werden sie wahrscheinlich am häufigsten auf internen Websites finden, wo in einigen Unternehmen eine alte Anwendung als Java-Applet geschrieben ist. Aber Java-Applets sind eine tote Technologie und verschwinden aus dem Consumer-Web. Sie sollten mit Flash konkurrieren, aber sie verloren. Selbst wenn Sie Java benötigen, brauchen Sie das Plug-in wahrscheinlich nicht.

Das gelegentliche Unternehmen oder der Benutzer, der das Java-Browser-Plug-In benötigt, sollte in die Systemsteuerung von Java wechseln und es aktivieren. Das Plug-in sollte als Legacy-Kompatibilitätsoption betrachtet werden.


Sollten Sie Ihren PC, Mac, iPhone, iPad in der Nacht herunterfahren?

Sollten Sie Ihren PC, Mac, iPhone, iPad in der Nacht herunterfahren?

Sollten Sie Ihre elektronischen Geräte nachts ausschalten? Ich bekomme diese Frage die ganze Zeit und die Antwort variiert je nach Gerät und Person. Es gibt Zeiten, in denen Sie Ihren Computer oder Ihr Smartphone nicht herunterfahren möchten, weil etwas im Hintergrund läuft. Auf der anderen Seite kann das Herunterfahren von Zeit zu Zeit seltsame kleine Probleme / Störungen beheben, die auftreten, wenn Sie Ihren Computer oder Ihr Gerät für eine sehr lange Zeit eingeschaltet haben.In die

(How-to)

So stellen Sie Ihr Ubuntu Linux-System in seinem vorherigen Zustand wieder her

So stellen Sie Ihr Ubuntu Linux-System in seinem vorherigen Zustand wieder her

Wäre es nicht schön, wenn Sie eine neue Version von Ubuntu ausprobieren könnten, obwohl Sie wissen, dass Sie zur vorherigen Version zurückkehren können mag es nicht? Wir zeigen Ihnen ein Tool, mit dem Sie jederzeit einen Snapshot Ihres Systems erstellen können. TimeShift ist ein kostenloses Tool, das der Systemwiederherstellung in Windows ähnelt.

(how-to)