Oracle은 Java Plug-in을 보안 할 수 없으므로 왜 여전히 활성화됩니까?
Java는 2013 년에 모든 컴퓨터 손상의 91 %를 담당했습니다. 대부분의 사람들은 Java 브라우저 플러그인을 사용할 수있을뿐만 아니라 오래되고 취약한 버전을 사용하고 있습니다. 오라클 - 오라클은 기본적으로 해당 플러그인을 비활성화해야합니다..
오라클은 상황이 재난임을 알고 있습니다. 악의적 인 자바 애플릿으로부터 당신을 보호하기 위해 원래 설계된 Java 플러그인의 보안 샌드 박스를 포기했습니다. 웹의 Java 애플릿은 기본 설정으로 시스템에 대한 완전한 액세스 권한을 얻습니다..
자바 브라우저 플러그인은 완전한 재난입니다.
자바의 수호자는 우리와 같은 사이트에서 자바가 극도로 안전하지 않다고 말할 때마다 불평하는 경향이 있습니다. "이것은 브라우저 플러그인 일뿐입니다. 그들이 얼마나 부러 졌는지를 인정합니다. 하지만 안전하지 않은 브라우저 플러그인은 기본적으로 자바를 설치할 때마다 기본적으로 활성화됩니다. 통계는 스스로 이야기합니다. How-To Geek에서도 모바일이 아닌 방문자의 95 %가 Java 플러그인을 사용할 수 있습니다. 그리고 우리는 독자들에게 Java를 제거하거나 플러그인을 사용하지 않도록 계속 말하고있는 웹 사이트입니다..
인터넷 전반에 걸친 조사에 따르면 Java가 설치된 대부분의 컴퓨터에 악의적 인 웹 사이트가 파괴 할 수있는 구식 Java 브라우저 플러그인이 설치되어 있다는 사실이 계속해서 나타납니다. 2013 년에는 Websense Security Lab의 조사에 따르면 80 %의 컴퓨터에 오래되었거나 취약한 Java 버전이있는 것으로 나타났습니다. 가장 자선 연구조차도 무서운 것입니다. 자바 플러그인의 50 % 이상이 구식이라고 주장하는 경향이 있습니다.
2014 년 Cisco의 연간 보안 보고서에 따르면 2013 년의 공격 중 91 %가 Java에 대한 공격이었습니다. 오라클은 끔찍한 Ask Toolbar 및 기타 junkware에 Java 업데이트를 번들로 제공하여 이러한 문제를 해결하기 위해 노력하고 있습니다..
오라클, Java Plug-in의 샌드 박스 구현
Java 플러그인은 웹 페이지에 포함 된 Java 프로그램 또는 "Java 애플릿"을 실행합니다. 이는 Adobe Flash의 작동 방식과 유사합니다. Java는 데스크톱 응용 프로그램에서 서버 소프트웨어에 이르기까지 모든 언어에 사용되는 복잡한 언어이기 때문에이 플러그 인은 원래 이러한 Java 프로그램을 안전한 샌드 박스에서 실행하도록 설계되었습니다. 이렇게하면 시도하더라도 시스템에 불쾌한 일을하지 못하게됩니다..
어쨌든 그것은 이론입니다. 실제로, Java 애플릿이 샌드 박스를 벗어나 시스템을 통해 거칠게 움직일 수있게 해주는 끊임없는 겉보기 취약점이 있습니다..
오라클은 이제 샌드 박스가 기본적으로 깨 졌음을 깨닫고 샌드 박스는 이제 기본적으로 작동하지 않습니다. 그들은 그것을 포기했습니다. 기본적으로 Java는 "서명되지 않은"애플릿을 더 이상 실행하지 않습니다. 보안 샌드 박스가 신뢰할 수 있다면 서명되지 않은 애플릿을 실행해도 문제가되지 않습니다. 웹에서 찾은 Adobe Flash 내용을 실행하는 것이 일반적으로 문제가되지 않는 이유입니다. Flash에 취약점이있는 경우에도 수정되었으므로 Adobe는 Flash의 샌드 박싱을 포기하지 않습니다..
기본적으로 Java는 서명 된 애플릿 만로드합니다. 좋은 보안 개선과 같이 괜찮은 것 같습니다. 그러나 심각한 결과가 있습니다. Java 애플릿이 서명되면 "신뢰할 수있는"것으로 간주되며 샌드 박스를 사용하지 않습니다. Java의 경고 메시지에 다음과 같이 표시됩니다.
"이 응용 프로그램은 컴퓨터와 개인 정보를 위험에 빠뜨릴 수있는 무제한 액세스로 실행됩니다."
오라클 자체의 Java 버전 확인 애플릿 - 설치된 Java 버전을 확인하기 위해 Java를 실행하고 업데이트해야하는지 알려주는 간단한 애플릿 -이 전체 시스템 액세스가 필요합니다. 그건 완전히 미친 짓이야..
즉, Java는 실제로 샌드 박스를 포기했습니다. 기본적으로 Java 애플릿을 실행하거나 시스템에 대한 전체 액세스 권한으로 Java 애플릿을 실행할 수는 없습니다. Java 보안 설정을 조정하지 않으면 샌드 박스를 사용할 수 없습니다. 샌드 박스는 신뢰할 수 없기 때문에 온라인에서 발생하는 모든 Java 코드가 시스템에 대한 완전한 액세스를 필요로합니다. Java 프로그램을 다운로드하여 브라우저 플러그인에 의존하는 대신 Java Plug-in을 제공 할 수도 있습니다.이 플러그인은 원래 제공하도록 설계된 추가 보안 기능을 제공하지 않습니다..
한 자바 개발자는 "오라클은 의도적으로 보안 향상을 위해 자바 보안 샌드 박스를 없앴습니다."라고 설명했습니다.
웹 브라우저가 자체적으로 사용할 수 없게합니다.
고맙게도 웹 브라우저가 오라클의 무능함을 해결하기 위해 발을 들여 놓고 있습니다. Java 브라우저 플러그인이 설치되어 있고 활성화되어 있어도 Chrome과 Firefox는 기본적으로 Java 콘텐츠를로드하지 않습니다. 그들은 자바 콘텐츠에 "클릭 투 플레이 (click-to-play)"를 사용합니다..
Internet Explorer는 여전히 Java 컨텐츠를 자동으로로드합니다. Internet Explorer가 다소 개선되었습니다. 2014 년 8 월에 Windows 8.1 8 월 업데이트 (Windows 8.1 업데이트 2)와 함께 오래된 ActiveX 컨트롤이 만료되기 시작했습니다. Chrome과 Firefox는 훨씬 오래 동안이 작업을 수행해 왔습니다. . Internet Explorer는 다른 브라우저 뒤에 있습니다..
Java Plug-in를 무효로하는 방법
Java를 설치해야하는 모든 사용자는 최소한 Java 제어판에서 플러그인을 비활성화해야합니다. 최근 Java 버전에서는 Windows 키를 한 번 눌러 시작 메뉴 또는 시작 화면을 열고 "Java"를 입력 한 다음 "Java 구성"바로 가기를 클릭 할 수 있습니다. 보안 탭에서 "브라우저에서 Java 컨텐츠 사용"옵션의 선택을 취소하십시오..
플러그인을 비활성화 한 후에도 Minecraft 및 Java에 종속 된 다른 데스크탑 응용 프로그램은 정상적으로 실행됩니다. 웹 페이지에 삽입 된 Java 애플릿 만 차단합니다..
네, Java 애플릿은 여전히 존재합니다. 일부 회사에서 Java 애플릿으로 작성된 고대 응용 프로그램이있는 내부 사이트에서 가장 자주 찾을 수 있습니다. 하지만 Java 애플릿은 죽은 기술이며 소비자 웹에서 사라지고 있습니다. 그들은 플래시와 경쟁하기로되어 있었지만 잃어 버렸습니다. Java가 필요한 경우에도 플러그인이 필요하지 않습니다..
자바 브라우저 플러그인을 필요로하는 가끔 회사 나 사용자는 자바의 제어판으로 들어가서이를 사용하도록 선택해야합니다. 플러그인은 이전 호환성 옵션으로 간주되어야합니다..
