الصفحة الرئيسية » howto » لا يمكن لـ Oracle تأمين المكون الإضافي Java ، إذن لماذا لا يزال ممكّنًا افتراضيًا؟

    لا يمكن لـ Oracle تأمين المكون الإضافي Java ، إذن لماذا لا يزال ممكّنًا افتراضيًا؟

    كانت جافا مسؤولة عن 91 في المائة من جميع التنازلات الحاسوبية في عام 2013. معظم الناس ليس لديهم فقط مكوّن إضافي لمتصفح جافا - وهم يستخدمون إصدارًا قديمًا ضعيفًا. مرحبًا ، Oracle - حان الوقت لتعطيل هذا المكون الإضافي افتراضيًا.

    تعرف أوراكل أن الوضع كارثة. لقد تخلوا عن صندوق أمان الحماية الإضافي لـ Java ، والذي تم تصميمه أصلاً لحمايتك من تطبيقات Java الضارة. تعمل تطبيقات Java على الويب على الوصول الكامل إلى نظامك من خلال الإعدادات الافتراضية.

    يعتبر Java Browser Plug-in بمثابة كارثة كاملة

    يميل المدافعون عن جافا إلى تقديم شكوى عندما تذكر مواقع مثلنا أن جافا غير آمنة للغاية. "هذا هو مجرد المكونات الإضافية في المتصفح" ، كما يقولون - الاعتراف بكسرها. ولكن يتم تمكين هذا المكون الإضافي للمتصفح غير الآمن بشكل افتراضي في كل تثبيت واحد لـ Java. الإحصاءات تتحدث عن نفسها. وحتى هنا في How-To Geek ، فإن 95 بالمائة من زوار موقعنا غير المتنقلين يمكنهم تشغيل مكون Java الإضافي. ونحن موقع ويب يواصل إخبار القراء بإلغاء تثبيت Java أو على الأقل تعطيل المكون الإضافي.

    على مستوى الإنترنت ، تستمر الدراسات في إظهار أن غالبية أجهزة الكمبيوتر التي تم تثبيتها على Java تحتوي على مكون إضافي لمتصفح Java متاح للتخلص من مواقع الويب الضارة. في عام 2013 ، أظهرت دراسة أجرتها Websense Security Labs أن 80 بالمائة من أجهزة الكمبيوتر لديها إصدارات جافا محدثة ومستقرة. حتى أكثر الدراسات الخيرية مخيفة - فهي تميل إلى المطالبة بأن أكثر من 50٪ من مكونات جافا الإضافية قديمة.

    في عام 2014 ، ذكر التقرير الأمني ​​السنوي لشركة سيسكو أن 91٪ من جميع الهجمات في عام 2013 كانت ضد جافا. حتى أن Oracle يحاول الاستفادة من هذه المشكلة عن طريق تجميع شريط أدوات Ask الرهيب وبرامج junkware الأخرى مع تحديثات Java - ابق أنيقًا ، Oracle.

    Oracle Gave Up في وضع الحماية لـ Java Plug-in's Sandboxing

    يقوم Java plug-in بتشغيل برنامج Java - أو "Java applet" - مضمّن في صفحة ويب ، على غرار الطريقة التي يعمل بها Adobe Flash. نظرًا لأن Java هي لغة معقدة تستخدم لكل شيء بدءًا من تطبيقات سطح المكتب إلى برامج الخوادم ، فقد تم تصميم المكون الإضافي في الأصل لتشغيل برامج Java هذه في وضع حماية آمن. هذا من شأنه أن يمنعهم من القيام بأشياء سيئة للنظام الخاص بك ، حتى لو حاولوا.

    هذه هي النظرية ، على أي حال. في الواقع ، هناك دفق من نقاط الضعف لا يبدو أنه ينتهي أبداً ويسمح لبرامج Java بالتخلّص من وضع الحماية وتشغيل النظام على النظام الخاص بك.

    تدرك شركة أوراكل أن صندوق الرمل أصبح مكسورًا في الأساس ، لذا أصبح وضع الحماية الآن ميتًا بشكل أساسي. لقد تخلوا عنها. بشكل افتراضي ، لن تقوم Java بتشغيل التطبيقات الصغيرة "غير الموقعة". لا يجب أن يكون تشغيل التطبيقات الصغيرة غير الموقعة مشكلة إذا كان أمان الحماية جديرًا بالثقة - ولهذا السبب لا يمثل مشكلة في تشغيل أي محتوى Adobe Flash على الويب. حتى إذا كانت هناك نقاط ضعف في Flash ، فسيتم إصلاحها ولن تتخلى Adobe عن وضع الحماية في Flash.

    بشكل افتراضي ، سيقوم Java بتحميل التطبيقات الموقعة فقط. يبدو ذلك جيدًا ، مثل تحسين الأمان الجيد. ومع ذلك ، هناك نتيجة خطيرة هنا. عند توقيع تطبيق Java صغير ، فإنه يعتبر "موثوقًا به" ولا يستخدم وضع الحماية. كما تضعها رسالة تحذير Java:

    "سيتم تشغيل هذا التطبيق مع وصول غير مقيد والذي قد يعرض جهاز الكمبيوتر والمعلومات الشخصية للخطر."

    حتى تطبيق Java الخاص بـ إصدار Java الخاص بشركة أوراكل - وهو برنامج صغير بسيط يقوم بتشغيل Java للتحقق من نسختك المثبتة ويخبرك إذا كنت بحاجة إلى التحديث - يتطلب الوصول الكامل للنظام. هذا مجنون تماما.

    وبعبارة أخرى ، فقد جاوة حقا على sandbox. بشكل افتراضي ، يمكنك إما عدم تشغيل تطبيق Java صغير أو تشغيله مع الوصول الكامل إلى النظام الخاص بك. ليست هناك طريقة لاستخدام وضع الحماية ما لم تعدّل إعدادات أمان Java. صندوق الرمل غير موثوق به بحيث يتطلب كل جزء من تعليمات Java البرمجية التي تصادفها عبر الإنترنت وصولاً كاملاً إلى نظامك. يمكنك أيضًا تنزيل برنامج جافا وتشغيله بدلاً من الاعتماد على المكون الإضافي للمتصفح ، والذي لا يوفر الأمان الإضافي الذي تم تصميمه في الأصل لتوفير.

    كما أوضح أحد مطوري جافا: "إن أوراكل تقتل عن قصد صندوق أمان أمان Java تحت ذريعة تحسين الأمان".

    متصفحات الويب تقوم بتعطيله على أجهزتهم

    لحسن الحظ ، تتدخل متصفحات الويب لإصلاح تراكم أوراكل. حتى إذا كان المكوِّن الإضافي لمتصفح جافا مثبتًا وممكّنًا ، فلن يحمّل Chrome و Firefox محتوى جافا افتراضيًا. يستخدمون "انقر للتشغيل" لمحتوى جافا.

    لا يزال Internet Explorer يقوم تلقائيًا بتحميل محتوى Java. تحسّن Internet Explorer إلى حدٍ ما - فقد بدأ أخيراً في حظر عناصر تحكم ActiveX غير المستقرة والغير مهذبة بالإضافة إلى "تحديث Windows 8.1 August" (المعروف باسم Windows 8.1 Update 2) في أغسطس 2014. لقد كان Chrome و Firefox يقومان بذلك لفترة أطول بكثير . يوجد Internet Explorer خلف المتصفحات الأخرى هنا - مرة أخرى.

    كيفية تعطيل جافا المكونات في

    يجب على كل شخص يحتاج إلى تثبيت Java أن يقوم بتعطيل البرنامج الإضافي على الأقل من لوحة تحكم جافا. باستخدام الإصدارات الحديثة من Java ، يمكنك النقر فوق مفتاح Windows مرة واحدة لفتح القائمة ابدأ أو بدء الشاشة ، واكتب "Java" ، ثم انقر فوق اختصار "Configure Java". في علامة التبويب أمان ، قم بإلغاء تحديد الخيار "تمكين محتوى جافا في المتصفح".

    حتى بعد تعطيل المكون الإضافي ، فإن Minecraft وأي تطبيق سطح مكتب آخر يعتمد على Java سيعمل بشكل جيد. سيؤدي ذلك فقط إلى حظر تطبيقات Java المدمجة على صفحات الويب.


    نعم ، لا تزال تطبيقات جافا الصغيرة موجودة في البرية. ربما ستجدهم في أغلب الأحيان على مواقع داخلية حيث يكون لدى بعض الشركات تطبيق قديم مكتوب على أنه برنامج Java. لكن تطبيقات Java هي تقنية ميتة وهي تتلاشى من ويب المستهلك. كان من المفترض أن يتنافسوا مع فلاش ، لكنهم خسروا. حتى إذا كنت بحاجة إلى Java ، فربما لا تحتاج إلى المكون الإضافي.

    يجب أن تذهب الشركة أو المستخدم العرضي الذي يحتاج إلى برنامج Java plug-in إلى لوحة تحكم Java واختيار تمكينه. يجب اعتبار المكون الإضافي خيار توافق قديم.