Video: How to enable and disable Java in Chrome (Oktober 2024)
Java er under angreb.
Ikke kun fra de sorte hatte, der laver drive-by-downloads, ondsindede vedhæftede filer og andre angreb, der udnytter sårbarhederne i teknologien, men også fra de hvide hatte, der hævder, at brugerne overhovedet ikke skal bruge det. Selv efter at Oracle lappet det seneste parti nul-dages sårbarheder i Java, anbefalede Department of Homeland Security's Computer Emergency Readiness Team (US-CERT) brugere Java slukket.
Ligesom Adobes Flash er Java et populært mål på grund af den enormt store installerede base. Hvis du virkelig ikke bruger websteder, der kræver Java, skal du gå videre og dumpe det. Vi har endda et pænt sæt instruktioner om, hvordan du deaktiverer Java i din browser.
Men jeg bruger Java!
Derefter er der resten af os, der faktisk bruger Java regelmæssigt.
"Jeg tvivler på, at enhver, der er opmærksom på sikkerhedsrådgivning, kører Java, IE 6/7/8, et al., Fordi de vil - vi kører disse ting, fordi vi er nødt til det, og beslutningen er ude af vores kontrol, " sikkerhedsguru Jack Daniel skrev på Uncommon Sense Security.
Da jeg kiggede rundt for at se, hvilke applikationer der brugte Java, indså jeg, at mange populære desktop-applikationer passer til regningen, inklusive Office-alternativer, ThinkFree Office, LibreOffice og OpenOffice, såvel som populære spil som Minecraft. Flere Adobe-applikationer kræver også, at Java skal køre visse komponenter. Intet at bekymre sig om, da dette er uafhængige Java-applikationer og ikke dem, der kører i webbrowseren.. Hvis du fulgte vores trinvise instruktioner, deaktiverede du Java kun i browseren. Lokale applikationer kører stadig fint.
Men det viser sig, at der er masser af spillesider og virksomheder, der stadig bruger Java. Specialiserede banktjenester, såsom Citi Private Bank, der kombinerer investering og traditionel bankvirksomhed til en konto, ser ud til at være et eksempel. Cloud-tjenester såsom Box.net-magt upload-værktøjer til bulk-fil med Java. Citrix og Cisco tilbyder begge klientløse SSL VPN-produkter, som giver brugerne mulighed for at etablere en sikker VPN-tunnel med fjernadgang ved hjælp af en Java-aktiveret webbrowser.
Er du studerende? Chancerne er, at din skole bruger Blackboard, som kræver den nyeste version af Java-plugin til at uploade filer og vedhæftede filer, bruge realtidschatfunktionen Virtual Classroom og for at aktivere visse interaktive funktioner på platformen.
Pogo.com og KidsPlayPark.com tilbyder online Java-spil. Mange Pogo-brugere, der er bekymrede over de nyeste trusler, ser ud til at have erstattet Java 7 med Java 6 (som Oracle ikke længere vil støtte efter februar), ifølge indlæg på brugerfora. Bare så du ved, det er en spektakulær dårlig idé. Der er masser af angreb, der er målrettet mod forældet software; det er ikke nødvendigt at risikere et helt andet sæt angreb bare for at undgå den nyeste afgrøde.
Hvad er alternativerne til it?
"Hvis du har nogle forretningskritiske applikationer, der kræver Java: prøv at finde en erstatning, " skrev SANS Instituts Johannes Ullrich på bloggen Internet Storm Center i sidste uge.
Webkonferenceplatforme ser ud til at være de største spærringer. Ciscos WebEx og Citrix GoToMeeting brugte tidligere Java, men begge platforme har for nylig ændret deres applikationer til at bruge en anden version, hvis de ikke kan finde Java. Citrix sagde, at det var i færd med at udfase Java helt. Andre i rummet, herunder MeetingBurner og Brother's OmniJoin, bruger dog stadig Java. Join.me, ClickMeeting og ReadyTalk er Flash-baserede.
Selvom fjernadgangsværktøjer tidligere var overvejende Java-baserede, er der en voksende liste over alternativer, der kan bruges til teknisk support, fortalte Chet Wisniewski, sikkerhedsrådgiver for Sophos, til SecurityWatch . Eksterne desktop-klienter er også indbygget i Mac OS X og Windows.
"Til støtte for min mor og far bruger jeg den gratis version af LogMeIn, " sagde han. LogMeIn Free bruger ActiveX.
Hvad hvis jeg ikke kan skifte?
For mange virksomheder "er der ikke noget alternativ, " fortalte Thomas Kristensen, CSO for Secunia, til SecurityWatch . Selvom det muligvis er muligt at udskifte nogle applikationer, er administratorer generelt nødt til at komme med andre måder at beskytte deres ansatte på. En måde at reducere angrebets overflade er at aktivere Java kun for dem, der faktisk har brug for det og deaktivere det for alle andre, sagde Kristensen.
I stedet for at bede medarbejderne om at stoppe med at bruge Java, skal organisationer fokusere på "bobleindpakning" for at beskytte brugere, fortalte Invinceas Anup Ghosh til SecurityWatch . Brugere kan surfe på Internettet via en virtualiseret browser, og hvis de støder på ondsindede websteder, ved et uheld at åbne en booby-fanget fil eller forsøge at downloade malware, vil det virtuelle miljø forhindre angrebet i at køre på den faktiske maskine. Det andet, den virtuelle browser er lukket, fjernes angrebet. Og bedst af alt, ville en virtuel browser beskytte dig mod en bredere vifte af trusler, ikke kun Java-baserede.
Brugere kan anvende et to-browsersystem. Hvis du normalt surfer på Internettet med Firefox, kan du overveje at deaktivere Java-plugin i Firefox. Aktivér derefter Java i en alternativ browser som Chrome, IE9, Safari osv., Og gennemsøg kun til websteder, der har brug for Java og aldrig til generel websurfing.
"Det er bedst at aktivere Java i en browser og kun bruge denne browser til websteder, der ikke fungerer uden den, " sagde Wisniewski.
Angribere kan lide at ændre mål - Flash, Internet Explorer, Adobe Reader. "Alle har en nul-dag på et eller andet tidspunkt, " skrev Metafores Rob VandenBrink på Internet Storm Center.
Deaktivering af Java er kun en måde at forsvare sig mod webtrusler, men ikke en universel løsning. Organisationer kan begrænse deres eksponering og vedtage sikkerhedspraksis, såsom webfiltrering og få brugere kørt med begrænsede privilegier, til at blokere angreb, sagde han.
"Stop med at pege på fingeren og komme med tæppeanbefalinger, der ikke kan følges, " skrev VandenBrink.
For mere fra Fahmida, følg hende på Twitter @zdFYRashid.
