Oracle ne peut pas sécuriser le plug-in Java, alors pourquoi est-il toujours activé par défaut?

Table des matières:

Oracle ne peut pas sécuriser le plug-in Java, alors pourquoi est-il toujours activé par défaut?
Oracle ne peut pas sécuriser le plug-in Java, alors pourquoi est-il toujours activé par défaut?

Vidéo: Oracle ne peut pas sécuriser le plug-in Java, alors pourquoi est-il toujours activé par défaut?

Vidéo: Oracle ne peut pas sécuriser le plug-in Java, alors pourquoi est-il toujours activé par défaut?
Vidéo: Résoudre les problèmes de connexion dans SQL Server - YouTube 2024, Mars
Anonim
En 2013, Java était responsable de 91% de toutes les compromissions informatiques. La plupart des utilisateurs du plug-in de navigateur Java sont activés: ils utilisent une version obsolète et vulnérable. Hé, Oracle, il est temps de désactiver ce plug-in par défaut.
En 2013, Java était responsable de 91% de toutes les compromissions informatiques. La plupart des utilisateurs du plug-in de navigateur Java sont activés: ils utilisent une version obsolète et vulnérable. Hé, Oracle, il est temps de désactiver ce plug-in par défaut.

Oracle sait que la situation est catastrophique. Ils ont abandonné le sandbox de sécurité du plug-in Java, conçu à l’origine pour vous protéger contre les applets Java malveillants. Les applets Java sur le Web obtiennent un accès complet à votre système avec les paramètres par défaut.

Le plug-in de navigateur Java est un désastre complet

Les défenseurs de Java ont tendance à se plaindre lorsque des sites comme le nôtre écrivent que Java est extrêmement précaire. «C’est juste le plug-in du navigateur», disent-ils - reconnaissant à quel point il est cassé. Mais ce plug-in de navigateur non sécurisé est activé par défaut dans chaque installation de Java. Les statistiques parlent d'elles-mêmes. Même ici, chez How-To Geek, 95% de nos visiteurs non mobiles ont le plug-in Java activé. Et nous sommes un site Web qui continue de demander à nos lecteurs de désinstaller Java ou au moins de désactiver le plug-in.

À l’échelle de l’Internet, des études montrent que la majorité des ordinateurs sur lesquels Java est installé disposent d’un plug-in de navigateur Java obsolète, disponible pour les sites Web malveillants. En 2013, une étude réalisée par Websense Security Labs a montré que 80% des ordinateurs disposaient de versions obsolètes et vulnérables de Java. Même les études les plus caritatives font peur - elles ont tendance à affirmer que plus de 50% des plug-ins Java sont obsolètes.

En 2014, le rapport de sécurité annuel de Cisco indiquait que 91% de toutes les attaques en 2013 étaient dirigées contre Java. Oracle tente même de tirer parti de ce problème en associant les mises à jour Java à la terrible barre d'outils Ask et à d'autres logiciels malveillants. Restez classe, Oracle.

Image
Image

Oracle a donné le Sandboxing du plug-in Java

Le plug-in Java exécute un programme Java - ou "applet Java" - intégré à une page Web, similaire au fonctionnement d'Adobe Flash. Java étant un langage complexe utilisé pour tout, des applications de bureau au logiciel serveur, le plug-in a été initialement conçu pour exécuter ces programmes Java dans un sandbox sécurisé. Cela les empêcherait de faire des choses désagréables sur votre système, même s'ils essayaient.

C’est la théorie, de toute façon. En pratique, il existe un flot de vulnérabilités apparemment sans fin qui permet aux applets Java d’échapper au bac à sable et de s’exécuter approximativement sur votre système.

Oracle se rend compte que le bac à sable est maintenant fondamentalement endommagé, de sorte que le bac à sable est à présent essentiellement mort. Ils ont abandonné. Par défaut, Java n'exécutera plus d'applets «non signés». Exécuter des applets non signés ne devrait pas poser de problème si le sandbox de sécurité était digne de confiance - c’est pourquoi il n’est généralement pas gênant d’exécuter du contenu Adobe Flash trouvé sur le Web. Même s'il existe des vulnérabilités dans Flash, elles sont corrigées et Adobe n'abandonne pas le bac à sable de Flash.

Par défaut, Java ne chargera que les applets signés. Cela semble bien, comme une bonne amélioration de la sécurité. Cependant, il y a une conséquence grave ici. Quand une applet Java est signée, elle est considérée comme "approuvée" et n’utilise pas le bac à sable. Comme le message d’avertissement de Java le dit:
Par défaut, Java ne chargera que les applets signés. Cela semble bien, comme une bonne amélioration de la sécurité. Cependant, il y a une conséquence grave ici. Quand une applet Java est signée, elle est considérée comme "approuvée" et n’utilise pas le bac à sable. Comme le message d’avertissement de Java le dit:

“This application will run with unrestricted access which may put your computer and personal information at risk.”

Même l’applet de vérification de la version Java d’Oracle - une petite applet simple qui exécute Java pour vérifier votre version installée et vous indique si vous devez mettre à jour - nécessite cet accès complet au système. C’est complètement fou.

En d'autres termes, Java a vraiment abandonné le bac à sable. Par défaut, vous pouvez ne pas exécuter d'applet Java ou l'exécuter avec un accès complet à votre système. Il n’est pas possible d’utiliser le bac à sable à moins d’ajuster les paramètres de sécurité de Java. Le bac à sable est tellement peu fiable que chaque élément de code Java rencontré en ligne nécessite un accès complet à votre système. Vous pouvez aussi simplement télécharger un programme Java et l’exécuter plutôt que de vous fier au plug-in de navigateur, qui n’offre pas la sécurité supplémentaire pour laquelle il avait été conçu à l’origine.
En d'autres termes, Java a vraiment abandonné le bac à sable. Par défaut, vous pouvez ne pas exécuter d'applet Java ou l'exécuter avec un accès complet à votre système. Il n’est pas possible d’utiliser le bac à sable à moins d’ajuster les paramètres de sécurité de Java. Le bac à sable est tellement peu fiable que chaque élément de code Java rencontré en ligne nécessite un accès complet à votre système. Vous pouvez aussi simplement télécharger un programme Java et l’exécuter plutôt que de vous fier au plug-in de navigateur, qui n’offre pas la sécurité supplémentaire pour laquelle il avait été conçu à l’origine.

Comme l'a expliqué un développeur Java: «Oracle élimine intentionnellement le sandbox de sécurité Java sous prétexte d'améliorer la sécurité.»

Les navigateurs Web le désactivent eux-mêmes

Heureusement, les navigateurs Web interviennent pour remédier à l’inaction d’Oracle. Même si le plug-in de navigateur Java est installé et activé, Chrome et Firefox ne chargent pas le contenu Java par défaut. Ils utilisent «click-to-play» pour le contenu Java.

Internet Explorer charge toujours automatiquement le contenu Java. Internet Explorer s'est quelque peu amélioré: il a finalement commencé à bloquer en août 2014 les contrôles ActiveX obsolètes et vulnérables, ainsi que la «Mise à jour Windows 8.1» (alias Windows 8.1 Update 2). Chrome et Firefox le font depuis beaucoup plus longtemps.. Internet Explorer est derrière les autres navigateurs ici - encore une fois.

Image
Image

Comment désactiver le plug-in Java

Tous ceux qui ont besoin de Java doivent au moins désactiver le plug-in à partir du panneau de configuration Java. Avec les versions récentes de Java, vous pouvez appuyer une fois sur la touche Windows pour ouvrir le menu Démarrer ou l’écran Démarrer, tapez «Java», puis cliquez sur le raccourci «Configurer Java». Sous l'onglet Sécurité, décochez l'option “Activer le contenu Java dans le navigateur”.

Même après la désactivation du plug-in, Minecraft et toute autre application de bureau dépendant de Java s'exécutent correctement. Cela ne bloquera que les applets Java intégrés aux pages Web.

Image
Image

Oui, les applets Java existent toujours dans la nature. Vous les trouverez probablement le plus souvent sur des sites internes où une entreprise a une ancienne application écrite en tant qu’applet Java. Mais les applets Java sont une technologie morte et ils disparaissent du Web grand public. Ils étaient censés concurrencer Flash, mais ils ont perdu. Même si vous avez besoin de Java, vous n’avez probablement pas besoin du plug-in.

Les entreprises ou utilisateurs occasionnels ayant besoin du plug-in de navigateur Java doivent se rendre dans le panneau de configuration de Java et choisir de l'activer. Le plug-in doit être considéré comme une option de compatibilité héritée.

Conseillé: