phhsnews.com


phhsnews.com / Oracle ne peut pas sécuriser le plug-in Java, alors pourquoi est-il toujours activé par défaut?

Oracle ne peut pas sécuriser le plug-in Java, alors pourquoi est-il toujours activé par défaut?


Java a été responsable de 91% de tous les compromis informatiques en 2013. La plupart des gens le plug-in du navigateur Java est activé - ils utilisent une version vulnérable et obsolète. Hey, Oracle - il est temps de désactiver ce plug-in par défaut.

Oracle sait que la situation est un désastre. Ils ont abandonné le sandbox de sécurité du plug-in Java, conçu à l'origine pour vous protéger des applets Java malveillants. Les applets Java sur le Web obtiennent un accès complet à votre système avec les paramètres par défaut

Le plug-in Java Browser est un désastre complet

Les défenseurs de Java ont tendance à se plaindre lorsque des sites comme le nôtre écrivent que Java est extrêmement précaire. "C'est juste le plug-in du navigateur", disent-ils - reconnaissant à quel point c'est cassé. Mais ce plug-in de navigateur non sécurisé est activé par défaut dans chaque installation de Java. Les statistiques parlent d'elles-mêmes. Même chez How-To Geek, 95% de nos visiteurs non mobiles ont activé le plug-in Java. Et nous sommes un site qui n'arrête pas de dire à nos lecteurs de désinstaller Java ou au moins de désactiver le plug-in.

Sur l'Internet, les études continuent de montrer que la majorité des ordinateurs avec Java ont un navigateur Java obsolète plug-in disponible pour les sites malveillants de ravager. En 2013, une étude de Websense Security Labs a montré que 80% des ordinateurs avaient des versions vulnérables et obsolètes de Java. Même les études les plus charitables font peur - elles ont tendance à prétendre que plus de 50% des plug-ins Java sont obsolètes.

En 2014, le rapport de sécurité annuel de Cisco indiquait que 91% des attaques en 2013 étaient contre Java. Oracle tente même de profiter de ce problème en regroupant la terrible barre d'outils Ask et d'autres logiciels indésirables avec des mises à jour Java - restez chic, Oracle.

Oracle Gave Up sur le Sandboxing du plug-in Java

Le plug-in Java exécute un Programme Java - ou "applet Java" - intégré sur une page Web, similaire au fonctionnement d'Adobe Flash. Parce que Java est un langage complexe utilisé pour tout, des applications de bureau au logiciel serveur, le plug-in a été conçu à l'origine pour exécuter ces programmes Java dans un sandbox sécurisé. Cela les empêcherait de faire des choses désagréables à votre système, même s'ils essayaient.

C'est la théorie, de toute façon. En pratique, il y a un flot de vulnérabilités apparemment infinies qui permettent aux applets Java d'échapper au bac à sable et de contourner votre système.

Oracle se rend compte que le bac à sable est maintenant brisé, donc le bac à sable est maintenant mort. Ils ont abandonné. Par défaut, Java n'exécutera plus d'applets "non signées". L'exécution d'applets non signées ne devrait pas poser de problème si le sandbox de sécurité est digne de confiance. C'est pourquoi il n'est généralement pas problématique d'exécuter du contenu Adobe Flash sur le Web. Même s'il existe des vulnérabilités dans Flash, elles sont corrigées et Adobe n'abandonne pas le sandboxing de Flash.

Par défaut, Java chargera uniquement les applets signées. Cela semble bien, comme une bonne amélioration de la sécurité. Cependant, il y a une conséquence sérieuse ici. Quand une applet Java est signée, elle est considérée comme "approuvée" et n'utilise pas le sandbox. Comme le dit le message d'avertissement de Java:

"Cette application fonctionnera sans restriction, ce qui peut mettre en danger votre ordinateur et vos informations personnelles."

Même l'applet de vérification de la version Java d'Oracle - une petite applet simple qui vérifie Java votre version installée et vous indique si vous avez besoin de mettre à jour - nécessite cet accès complet au système. C'est complètement fou.

En d'autres termes, Java a vraiment abandonné le bac à sable. Par défaut, vous ne pouvez pas exécuter une applet Java ou l'exécuter avec un accès complet à votre système. Il n'y a aucun moyen d'utiliser le bac à sable à moins de modifier les paramètres de sécurité de Java. Le sandbox est si peu fiable que chaque bit de code Java que vous rencontrez en ligne nécessite un accès complet à votre système. Vous pouvez aussi simplement télécharger un programme Java et l'exécuter plutôt que de vous fier au plug-in du navigateur, qui n'offre pas la sécurité supplémentaire qu'il a été conçu à l'origine.

Comme l'explique un développeur Java: «Oracle tue intentionnellement le sandbox de sécurité Java sous prétexte d'améliorer la sécurité.»

Les navigateurs Web le désactivent

Heureusement, les navigateurs Web interviennent pour corriger l'inaction d'Oracle. Même si le plug-in du navigateur Java est installé et activé, Chrome et Firefox ne chargeront pas le contenu Java par défaut. Ils utilisent le "click-to-play" pour le contenu Java.

Internet Explorer charge toujours automatiquement le contenu Java. Internet Explorer s'est quelque peu amélioré - il a finalement commencé à bloquer les contrôles ActiveX vulnérables et obsolètes ainsi que la «mise à jour de Windows 8.1 août» (aka Windows 8.1 Update 2) en août 2014. Chrome et Firefox le font depuis bien plus longtemps . Internet Explorer est de nouveau derrière les autres navigateurs

Comment désactiver le plug-in Java

Tous ceux qui ont besoin de Java doivent au moins désactiver le plug-in depuis le Panneau de configuration java. Avec les versions récentes de Java, vous pouvez appuyer une fois sur la touche Windows pour ouvrir le menu Démarrer ou l'écran Démarrer, tapez "Java", puis cliquez sur le raccourci "Configurer Java". Dans l'onglet Sécurité, décochez l'option "Activer le contenu Java dans le navigateur"

Même après avoir désactivé le plug-in, Minecraft et toutes les autres applications de bureau qui dépendent de Java fonctionneront très bien. Cela ne fera que bloquer les applets Java intégrées dans les pages Web.


Oui, les applets Java existent toujours dans la nature. Vous les trouverez probablement le plus souvent sur des sites internes où certaines entreprises ont une ancienne application écrite en tant qu'applet Java. Mais les applets Java sont une technologie morte et ils disparaissent du web grand public. Ils étaient supposés rivaliser avec Flash, mais ils ont perdu. Même si vous avez besoin de Java, vous n'avez probablement pas besoin du plug-in.

La société ou l'utilisateur occasionnel qui a besoin du plug-in Java doit aller dans le Panneau de configuration de Java et choisir de l'activer. Le plug-in doit être considéré comme une option de compatibilité héritée.