Oracle Tidak Dapat Mengamankan Plug-in Java, Jadi Mengapa Masih Diaktifkan Secara Default?
Java bertanggung jawab atas 91 persen dari semua kompromi komputer pada tahun 2013. Kebanyakan orang tidak hanya mengaktifkan plug-in browser Java - mereka menggunakan versi yang rentan dan ketinggalan zaman. Hai, Oracle - saatnya untuk menonaktifkan plug-in itu secara default.
Oracle tahu situasinya adalah bencana. Mereka telah menyerah pada sandbox keamanan plug-in Java, awalnya dirancang untuk melindungi Anda dari applet Java berbahaya. Applet Java di web mendapatkan akses lengkap ke sistem Anda dengan pengaturan default.
Plug-in Browser Java adalah Bencana Lengkap
Pembela Jawa cenderung mengeluh setiap kali situs seperti kami menulis bahwa Java sangat tidak aman. "Itu hanya plug-in browser," kata mereka - mengakui betapa rusaknya itu. Tetapi plug-in browser yang tidak aman itu diaktifkan secara default di setiap instalasi Java di luar sana. Statistik berbicara sendiri. Bahkan di sini di How-To Geek, 95 persen pengunjung non-seluler kami mengaktifkan plug-in Java. Dan kami adalah situs web yang terus memberi tahu pembaca kami untuk mencopot pemasangan Java atau setidaknya menonaktifkan plug-in.
Di seluruh Internet, penelitian terus menunjukkan bahwa sebagian besar komputer dengan Java yang diinstal memiliki plug-in browser Java yang sudah usang yang tersedia untuk dirusak oleh situs web berbahaya. Pada 2013, sebuah studi oleh Websense Security Labs menunjukkan bahwa 80 persen komputer memiliki versi Java yang ketinggalan zaman dan rentan. Bahkan studi yang paling amal pun menakutkan - mereka cenderung mengklaim lebih dari 50 persen plug-in Java sudah ketinggalan zaman.
Pada 2014, laporan keamanan tahunan Cisco mengatakan 91 persen dari semua serangan pada 2013 menentang Jawa. Oracle bahkan mencoba untuk mengambil keuntungan dari masalah ini dengan menggabungkan Ask Toolbar yang mengerikan dan junkware lainnya dengan pembaruan Java - tetap berkelas, Oracle.
Oracle Memberi Up pada Sandboxing Java Plug-in
Plug-in Java menjalankan program Java - atau “Java applet” - tertanam di halaman web, mirip dengan cara kerja Adobe Flash. Karena Java adalah bahasa kompleks yang digunakan untuk segala hal mulai dari aplikasi desktop hingga perangkat lunak server, plug-in ini awalnya dirancang untuk menjalankan program Java ini di kotak pasir yang aman. Ini akan mencegah mereka melakukan hal-hal buruk pada sistem Anda, bahkan jika mereka mencobanya.
Itulah teorinya. Dalam praktiknya, ada aliran kerentanan yang tampaknya tidak pernah berakhir yang memungkinkan applet Java untuk keluar dari kotak pasir dan menjalankan roughshod di sistem Anda.
Oracle menyadari sandbox sekarang pada dasarnya rusak, jadi sandbox sekarang pada dasarnya mati. Mereka sudah menyerah. Secara default, Java tidak akan lagi menjalankan applet "unsigned". Menjalankan applet yang tidak ditandatangani seharusnya tidak menjadi masalah jika sandbox keamanan dapat dipercaya - itu sebabnya umumnya tidak masalah untuk menjalankan konten Adobe Flash yang Anda temukan di web. Bahkan jika ada kerentanan dalam Flash, mereka diperbaiki dan Adobe tidak menyerah pada kotak pasir Flash.
Secara default, Java hanya akan memuat applet yang sudah ditandatangani. Kedengarannya bagus, seperti peningkatan keamanan yang baik. Namun, ada konsekuensi serius di sini. Ketika applet Java ditandatangani, itu dianggap "tepercaya" dan tidak menggunakan kotak pasir. Seperti pesan peringatan Java katakan:
"Aplikasi ini akan berjalan dengan akses tidak terbatas yang dapat membahayakan komputer dan informasi pribadi Anda."
Bahkan applet cek versi Java milik Oracle - applet kecil sederhana yang menjalankan Java untuk memeriksa versi instal Anda dan memberi tahu Anda jika Anda perlu memperbarui - memerlukan akses sistem lengkap ini. Itu benar-benar gila.
Dengan kata lain, Java benar-benar telah menyerah pada sandbox. Secara default, Anda tidak dapat menjalankan applet Java atau menjalankannya dengan akses penuh ke sistem Anda. Tidak ada cara untuk menggunakan kotak pasir kecuali Anda mengubah pengaturan keamanan Java. Kotak pasir sangat tidak dapat dipercaya sehingga setiap bit kode Java yang Anda temui online membutuhkan akses penuh ke sistem Anda. Anda mungkin juga mengunduh program Java dan menjalankannya daripada mengandalkan plug-in browser, yang tidak menawarkan keamanan tambahan yang pada awalnya dirancang untuk menyediakan.
Seperti yang dijelaskan oleh salah satu pengembang Java: "Oracle sengaja mematikan kotak pasir keamanan Java dengan alasan meningkatkan keamanan."
Browser Web Menonaktifkannya Sendiri
Untungnya, browser web sedang melangkah untuk memperbaiki kelambanan Oracle. Bahkan jika Anda memiliki plug-in browser Java diinstal dan diaktifkan, Chrome dan Firefox tidak akan memuat konten Java secara default. Mereka menggunakan "klik untuk putar" untuk konten Java.
Internet Explorer masih secara otomatis memuat konten Java. Internet Explorer telah agak membaik - akhirnya mulai memblokir kontrol ActiveX yang sudah ketinggalan zaman dan rentan bersama dengan "Pembaruan Windows 8.1 Agustus" (alias Pembaruan Windows 8.1 2) pada bulan Agustus 2014. Chrome dan Firefox telah melakukan ini lebih lama . Internet Explorer ada di belakang browser lain di sini - lagi.
Cara Menonaktifkan Plug-in Java
Setiap orang yang membutuhkan Java diinstal setidaknya harus menonaktifkan plug-in dari java Control Panel. Dengan versi Java terbaru, Anda dapat mengetuk tombol Windows sekali untuk membuka menu Start atau layar Mulai, ketik "Java," dan kemudian klik pintasan "Konfigurasi Java". Pada tab Keamanan, hapus centang opsi "Aktifkan konten Java di browser".
Bahkan setelah Anda menonaktifkan plug-in, Minecraft dan semua aplikasi desktop lain yang bergantung pada Java akan berjalan dengan baik. Ini hanya akan memblokir applet Java yang tertanam di halaman web.
Ya, applet Java masih ada di alam liar. Anda mungkin akan menemukannya paling sering di situs internal di mana beberapa perusahaan memiliki aplikasi kuno yang ditulis sebagai applet Java. Tetapi applet Java adalah teknologi mati dan menghilang dari web konsumen. Mereka seharusnya bersaing dengan Flash, tetapi mereka kalah. Bahkan jika Anda membutuhkan Java, Anda mungkin tidak memerlukan plug-in.
Perusahaan atau pengguna sesekali yang memang memerlukan plug-in browser Java harus masuk ke Control Panel Java dan memilih untuk mengaktifkannya. Plug-in harus dianggap sebagai opsi kompatibilitas warisan.