Oracle Tidak Dapat Mengamankan Plug-in Java, Jadi Mengapa Masih Diaktifkan Secara Default?



Java bertanggung jawab atas 91 persen dari semua penyusupan komputer pada tahun 2013. Kebanyakan orang tidak hanya mengaktifkan plugin browser Java — mereka menggunakan versi yang sudah usang dan rentan. Hei, Oracle — saatnya untuk menonaktifkan plug-in itu secara default.

Oracle tahu situasinya adalah bencana. Mereka menyerah pada kotak pasir keamanan plug-in Java, yang awalnya dirancang untuk melindungi Anda dari applet Java yang berbahaya. Applet Java di web mendapatkan akses lengkap ke sistem Anda dengan pengaturan default.





Plug-in Browser Java adalah Bencana Lengkap

Pembela Java cenderung mengeluh setiap kali situs seperti milik kami menulis bahwa Java sangat tidak aman. Itu hanya plug-in browser, kata mereka — mengakui betapa rusaknya itu. Tapi plugin browser yang tidak aman itu diaktifkan secara default di setiap instalasi Java di luar sana. Statistik berbicara sendiri. Bahkan di How-To Geek, 95 persen pengunjung non-seluler kami mengaktifkan plugin Java. Dan kami adalah situs web yang terus memberi tahu pembaca kami untuk uninstall Java atau setidaknya nonaktifkan plug-in .

Di seluruh Internet, penelitian terus menunjukkan bahwa sebagian besar komputer dengan Java yang diinstal memiliki plug-in browser Java yang sudah ketinggalan zaman yang tersedia untuk situs web jahat untuk dirusak. Pada tahun 2013, studi oleh Labs Keamanan Websense menunjukkan bahwa 80 persen komputer memiliki versi Java yang sudah usang dan rentan. Bahkan studi paling amal pun menakutkan — mereka cenderung mengklaim lebih dari 50 persen plug-in Java sudah ketinggalan zaman.



Pada tahun 2014, Laporan keamanan tahunan Cisco mengatakan 91 persen dari semua serangan pada tahun 2013 adalah terhadap Jawa. Oracle bahkan mencoba mengambil keuntungan dari masalah ini dengan bundling Ask Toolbar yang mengerikan dan junkware lainnya dengan pembaruan Java — tetap berkelas, Oracle.

Oracle Menyerah pada Sandboxing Plug-in Java

Plug-in Java menjalankan program Java — atau applet Java — yang disematkan pada halaman web, mirip dengan cara kerja Adobe Flash. Karena Java adalah bahasa kompleks yang digunakan untuk segala hal mulai dari aplikasi desktop hingga perangkat lunak server, plug-in awalnya dirancang untuk menjalankan program Java ini di kotak pasir yang aman . Ini akan mencegah mereka melakukan hal-hal buruk ke sistem Anda, bahkan jika mereka mencoba.



Iklan

Itu teorinya. Dalam praktiknya, ada aliran kerentanan yang tampaknya tidak pernah berakhir yang memungkinkan applet Java untuk keluar dari kotak pasir dan berjalan kasar di atas sistem Anda.

Oracle menyadari kotak pasir sekarang pada dasarnya rusak, sehingga kotak pasir sekarang pada dasarnya mati. Mereka sudah menyerah. Secara default, Java tidak akan lagi menjalankan applet yang tidak ditandatangani. Menjalankan applet yang tidak ditandatangani seharusnya tidak menjadi masalah jika kotak pasir keamanan dapat dipercaya — itulah mengapa menjalankan konten Adobe Flash apa pun yang Anda temukan di web pada umumnya bukanlah masalah. Bahkan jika ada kerentanan di Flash, itu sudah diperbaiki dan Adobe tidak menyerah pada sandboxing Flash.

Secara default, Java hanya akan memuat applet yang ditandatangani. Kedengarannya bagus, seperti peningkatan keamanan yang baik. Namun, ada konsekuensi serius di sini. Saat applet Java ditandatangani, itu dianggap tepercaya dan tidak menggunakan kotak pasir. Seperti yang dikatakan oleh pesan peringatan Java:

Aplikasi ini akan berjalan dengan akses tidak terbatas yang dapat membahayakan komputer dan informasi pribadi Anda.

Bahkan applet cek versi Java Oracle sendiri — applet kecil sederhana yang menjalankan Java untuk memeriksa versi yang Anda instal dan memberi tahu Anda jika Anda perlu memperbarui — memerlukan akses sistem penuh ini. Itu benar-benar gila.

Dengan kata lain, Java benar-benar menyerah pada sandbox. Secara default, Anda tidak dapat menjalankan applet Java atau menjalankannya dengan akses penuh ke sistem Anda. Tidak ada cara untuk menggunakan kotak pasir kecuali Anda mengubah pengaturan keamanan Java. Kotak pasir sangat tidak dapat dipercaya sehingga setiap bit kode Java yang Anda temui online membutuhkan akses penuh ke sistem Anda. Anda sebaiknya mengunduh program Java dan menjalankannya daripada mengandalkan plug-in browser, yang tidak menawarkan keamanan tambahan yang awalnya dirancang untuk disediakan.

Iklan

Sebagai salah satu pengembang Java dijelaskan : Oracle sengaja mematikan kotak pasir keamanan Java dengan dalih meningkatkan keamanan.

Peramban Web Menonaktifkannya Sendiri

Untungnya, browser web turun tangan untuk memperbaiki kelambanan Oracle. Meskipun Anda telah menginstal dan mengaktifkan plugin browser Java, Chrome dan Firefox tidak akan memuat konten Java secara default. Mereka menggunakan click-to-play untuk konten Java.

Internet Explorer masih memuat konten Java secara otomatis. Internet Explorer telah sedikit meningkat — akhirnya mulai memblokir kontrol ActiveX yang kedaluwarsa dan rentan bersama dengan Pembaruan Windows 8.1 Agustus (alias Pembaruan Windows 8.1 2) pada Agustus 2014. Chrome dan Firefox telah melakukan ini lebih lama. Internet Explorer berada di belakang browser lain di sini — lagi.

Cara Menonaktifkan Plug-in Java

Setiap orang yang membutuhkan Java diinstal setidaknya harus menonaktifkan plug-in dari Java Control Panel. Dengan Java versi terbaru, Anda dapat mengetuk tombol Windows sekali untuk membuka menu Mulai atau layar Mulai, ketik Java, lalu klik pintasan Konfigurasi Java. Pada tab Keamanan, hapus centang pada opsi Aktifkan konten Java di browser.

Bahkan setelah Anda menonaktifkan plugin, Minecraft dan aplikasi desktop lainnya yang bergantung pada Java akan berjalan dengan baik. Ini hanya akan memblokir applet Java yang disematkan di halaman web.


Ya, applet Java masih ada di alam liar. Anda mungkin akan menemukannya paling sering di situs internal di mana beberapa perusahaan memiliki aplikasi kuno yang ditulis sebagai applet Java. Tapi applet Java adalah teknologi mati dan mereka menghilang dari web konsumen. Mereka seharusnya bersaing dengan Flash, tetapi mereka kalah. Bahkan jika Anda membutuhkan Java, Anda mungkin tidak memerlukan plug-in.

Iklan

Perusahaan atau pengguna sesekali yang membutuhkan plug-in browser Java harus masuk ke Control Panel Java dan memilih untuk mengaktifkannya. Plug-in harus dianggap sebagai opsi kompatibilitas lama.

BACA BERIKUTNYA Foto Profil untuk Chris Hoffman Chris Hoffman
Chris Hoffman adalah Pemimpin Redaksi How-To Geek. Dia menulis tentang teknologi selama lebih dari satu dekade dan menjadi kolumnis PCWorld selama dua tahun. Chris telah menulis untuk The New York Times, telah diwawancarai sebagai pakar teknologi di stasiun TV seperti NBC 6 Miami, dan karyanya diliput oleh outlet berita seperti BBC. Sejak 2011, Chris telah menulis lebih dari 2.000 artikel yang telah dibaca hampir satu miliar kali --- dan itu hanya di sini di How-To Geek.
Baca Bio Lengkap

Artikel Menarik