Video: Porr | "Det blev svårare för mig att få upp den" (September 2024)
Java är under attack.
Inte bara från de svarta hattarna som skapar drive-by-downloads, skadliga bilagor och andra attacker som utnyttjar sårbarheterna i tekniken, utan också från de vita hattarna som hävdar att användare inte bör använda den alls. Även efter att Oracle lappade den senaste omgången med nolldagars sårbarheter i Java, rekommenderade avdelningen för hemlandssäkerhets datorberedskapsteam (US-CERT) användare att slå av Java.
Liksom Adobes Flash är Java ett populärt mål på grund av dess oerhört stora installerade bas. Om du verkligen inte använder webbplatser som kräver Java, gå vidare och dumpa det. Vi har till och med en trevlig uppsättning instruktioner om hur du inaktiverar Java i din webbläsare.
Men jag använder Java!
Sedan finns det resten av oss som faktiskt använder Java regelbundet.
"Jag tvivlar på att alla som uppmärksammar säkerhetsråd kör Java, IE 6/7/8, etc. för att de vill - vi kör dessa saker för att vi måste, och beslutet är utan kontroll." säkerhetsguru Jack Daniel skrev på Uncommon Sense Security.
När jag tittade omkring för att se vilka applikationer som använde Java, insåg jag att många populära skrivbordsapplikationer passade till räkningen, inklusive Office-alternativ, ThinkFree Office, LibreOffice och OpenOffice, samt populära spel som Minecraft. Flera Adobe-applikationer kräver också Java för att köra vissa komponenter. Inget att oroa sig, eftersom det är fristående Java-applikationer och inte de som körs i webbläsaren.. Om du följde våra steg-för-steg-anvisningar inaktiverade du Java bara i webbläsaren. Lokala applikationer går fortfarande bra.
Men det visar sig att det finns många spelwebbplatser och företag som fortfarande använder Java. Specialiserade banktjänster, till exempel Citi Private Bank, som kombinerar investeringar och traditionell bankrörelse till ett konto, verkar vara ett exempel. Molntjänster som Box.net driver upplastningsverktyg för bulkfiler med Java. Citrix och Cisco erbjuder båda klientlösa SSL VPN-produkter, vilket låter användare etablera en säker, fjärråtkomst VPN-tunnel med en Java-aktiverad webbläsare.
Är du en student? Chansen är stor att din skola använder Blackboard, som kräver den senaste versionen av Java-plugin för att ladda upp filer och bilagor, använda realtidschattfunktionen Virtual Classroom och för att aktivera vissa interaktiva funktioner på plattformen.
Pogo.com och KidsPlayPark.com erbjuder online-Java-spel. Många Pogo-användare, oroliga för de senaste hoten, verkar ha ersatt Java 7 med Java 6 (som Oracle inte längre kommer att stödja efter februari), enligt inlägg på användarforum. Bara så att du vet, det är en fantastisk dålig idé. Det finns många attacker som är inriktade på föråldrad programvara; det finns ingen anledning att riskera en helt annan uppsättning attacker bara för att undvika den senaste grödan.
Vad är alternativen för IT?
"Om du har några affärskritiska applikationer som kräver Java: försök hitta en ersättning", skrev SANS-institutets Johannes Ullrich på Internet Storm Center-bloggen förra veckan.
Webbkonferensplattformar verkar vara de största spärrarna. Ciscos WebEx och Citrix GoToMeeting krävde Java, men båda plattformarna har nyligen ändrat sina applikationer för att använda en annan version om den inte hittar Java. Citrix sa att det var i processen att utföra Java helt. Andra i rymden, dock MeetingBurner och Brother's OmniJoin, använder fortfarande Java. Join.me, ClickMeeting och ReadyTalk är Flash-baserade.
Trots att fjärråtkomstverktyg för det mesta var Java-baserade finns det en växande lista över alternativ som kan användas för teknisk support, berättade Chet Wisniewski, säkerhetsrådgivare för Sophos, till SecurityWatch . Klienter för fjärrskrivbord är också inbyggda i Mac OS X och Windows.
"För att stödja min mamma och pappa använder jag den kostnadsfria versionen av LogMeIn", sa han. LogMeIn Free använder ActiveX.
Vad händer om jag inte kan växla?
För många företag "finns det inget alternativ", sa Thomas Kristensen, CSO för Secunia, till SecurityWatch . Även om det kan vara möjligt att ersätta vissa applikationer, kommer administratörer i allmänhet att behöva hitta andra sätt att skydda sina anställda. Ett sätt att minska attackytan är att aktivera Java endast för dem som faktiskt behöver det och inaktivera det för alla andra, sade Kristensen.
Istället för att säga anställda att sluta använda Java, bör organisationer fokusera på "bubbelpapir" för att skydda användare, berättade Invinceas Anup Ghosh till SecurityWatch . Användare kan surfa på webben via en virtualiserad webbläsare, och om de stöter på skadliga webbplatser, av misstag öppnar en booby-fångad fil eller försöker ladda ner skadlig programvara, kommer den virtuella miljön att blockera attacken från att köras på själva maskinen. Den andra den virtuella webbläsaren är stängd tas attacken bort. Och bäst av allt, en virtuell webbläsare skulle skydda dig från ett större antal hot, inte bara Java-baserade.
Användare kan använda ett två-webbläsarsystem. Om du vanligtvis surfar på webben med Firefox kan du till exempel överväga att inaktivera Java-plugin i Firefox. Aktivera sedan Java i en alternativ webbläsare som Chrome, IE9, Safari, etc. och bläddra bara till webbplatser som behöver Java och aldrig för allmän webbsurfning.
"Det är bäst att aktivera Java i en webbläsare och bara använda den webbläsaren för webbplatser som inte fungerar utan den, " sa Wisniewski.
Angripare vill ändra mål - Flash, Internet Explorer, Adobe Reader. "Alla har en nolldag på en eller annan tid, " skrev Metafores Rob VandenBrink på Internet Storm Center.
Att inaktivera Java är bara ett sätt att försvara mot webbhot, men inte en universell lösning. Organisationer kan begränsa sin exponering och anta säkerhetsrutiner, till exempel webbfiltrering och låta användare köras med begränsade privilegier, för att blockera attacker, sade han.
"Sluta fingret peka och göra rekommendationer som inte kan följas, " skrev VandenBrink.
För mer från Fahmida, följ henne på Twitter @zdFYRashid.
