ओरेकल जावा प्लग-इन को सुरक्षित नहीं कर सकता है, इसलिए यह अभी भी डिफ़ॉल्ट रूप से सक्षम क्यों है?
2013 में सभी कंप्यूटर समझौतों में से 91 प्रतिशत के लिए जावा जिम्मेदार था। अधिकांश लोगों के पास न केवल जावा ब्राउज़र प्लग-इन सक्षम है - वे एक आउट-ऑफ-डेट, असुरक्षित संस्करण का उपयोग कर रहे हैं। हे, ओरेकल - यह डिफ़ॉल्ट रूप से उस प्लग-इन को अक्षम करने का समय है.
ओरेकल जानता है कि स्थिति एक आपदा है। उन्होंने जावा प्लग-इन के सुरक्षा सैंडबॉक्स पर छोड़ दिया है, जो मूल रूप से आपको दुर्भावनापूर्ण जावा एप्लेट से बचाने के लिए डिज़ाइन किया गया है। वेब पर जावा एप्लेट्स डिफ़ॉल्ट सेटिंग्स के साथ आपके सिस्टम तक पूरी पहुँच प्राप्त करते हैं.
जावा ब्राउज़र प्लग-इन एक पूर्ण आपदा है
जब भी हमारी जैसी साइटें लिखती हैं कि जावा के डिफेंडर शिकायत करते हैं कि जावा बेहद असुरक्षित है। "यह सिर्फ ब्राउज़र प्लग-इन है," वे कहते हैं - यह स्वीकार करते हुए कि यह कितना टूटा हुआ है। लेकिन वह असुरक्षित ब्राउज़र प्लग-इन जावा के हर एक इंस्टॉलेशन में डिफ़ॉल्ट रूप से सक्षम है। आंकड़े अपने लिए बोलते हैं। यहां तक कि कैसे-कैसे गीक पर, हमारे गैर-मोबाइल आगंतुकों में से 95 प्रतिशत में जावा प्लग-इन सक्षम है। और हम एक ऐसी वेबसाइट हैं जो हमारे पाठकों को जावा की स्थापना रद्द करने या कम से कम प्लग-इन को अक्षम करने के लिए कहती रहती है.
इंटरनेट-वाइड, अध्ययन बताते हैं कि स्थापित जावा के अधिकांश कंप्यूटरों में दुर्भावनापूर्ण वेबसाइटों को नष्ट करने के लिए जावा ब्राउज़र प्लग-इन उपलब्ध है। 2013 में, वेबसेंस सिक्योरिटी लैब्स के एक अध्ययन से पता चला कि 80 प्रतिशत कंप्यूटरों में जावा के कमजोर संस्करण थे। यहां तक कि सबसे धर्मार्थ अध्ययन डरावने हैं - वे दावा करते हैं कि 50 प्रतिशत से अधिक जावा प्लग-इन पुराने हैं.
2014 में, सिस्को की वार्षिक सुरक्षा रिपोर्ट ने कहा कि 2013 में हुए हमलों में 91 प्रतिशत जावा के खिलाफ थे। ओरेकल यहां तक कि जावा अपडेट के साथ भयानक आस्क टूलबार और अन्य जंकवेयर को बंडल करके इस समस्या का लाभ उठाने की कोशिश करता है - क्लास के बने रहें, ओरेकल.
जावा प्लग-इन के सैंडबॉक्सिंग पर ओरेकल दिया गया
जावा प्लग-इन जावा प्रोग्राम चलाता है - या "जावा एप्लेट" - वेब पेज पर एम्बेडेड है, जो एडोब फ्लैश के समान है। क्योंकि जावा एक जटिल भाषा है जिसका उपयोग डेस्कटॉप एप्लिकेशन से सर्वर सॉफ्टवेयर तक सब कुछ के लिए किया जाता है, प्लग-इन मूल रूप से इन जावा प्रोग्रामों को एक सुरक्षित बॉक्स में चलाने के लिए डिज़ाइन किया गया था। यह उन्हें आपके सिस्टम के लिए गंदा काम करने से रोकेगा, भले ही उन्होंने कोशिश की हो.
यह सिद्धांत है, वैसे भी। व्यवहार में, कमजोरियों की एक कभी न खत्म होने वाली धारा है जो जावा एप्लेट को सैंडबॉक्स से बचने और इस सिस्टम पर रफशॉट चलाने की अनुमति देती है.
ओरेकल को पता चलता है कि सैंडबॉक्स अब मूल रूप से टूट गया है, इसलिए सैंडबॉक्स अब मूल रूप से मर चुका है। उन्होंने इसे छोड़ दिया है। डिफ़ॉल्ट रूप से, जावा अब "अहस्ताक्षरित" एप्लेट नहीं चलाएगा। यदि सुरक्षा सैंडबॉक्स भरोसेमंद था, तो अहस्ताक्षरित एप्लेट्स चलाना एक समस्या नहीं होनी चाहिए - यही कारण है कि यह आमतौर पर वेब पर आपके द्वारा खोजे जाने वाले किसी भी एडोब फ्लैश सामग्री को चलाने के लिए समस्या नहीं है। यहां तक कि अगर फ्लैश में कमजोरियां हैं, तो वे निश्चित हैं और एडोब फ्लैश के सैंडबॉक्सिंग पर हार नहीं मानता है.
डिफ़ॉल्ट रूप से, जावा केवल हस्ताक्षरित एप्लेट लोड करेगा। यह अच्छा लगता है, एक अच्छा सुरक्षा सुधार की तरह। हालाँकि, यहाँ एक गंभीर परिणाम है। जब एक जावा एप्लेट पर हस्ताक्षर किए जाते हैं, तो इसे "विश्वसनीय" माना जाता है और यह सैंडबॉक्स का उपयोग नहीं करता है। जैसा कि जावा का चेतावनी संदेश डालता है:
"यह एप्लिकेशन अप्रतिबंधित पहुंच के साथ चलेगा जो आपके कंप्यूटर और व्यक्तिगत जानकारी को खतरे में डाल सकता है।"
यहां तक कि ओरेकल का अपना जावा संस्करण चेक एप्लेट - एक साधारण सा एप्लेट जो आपके इंस्टॉल किए गए संस्करण की जांच करने के लिए जावा चलाता है और आपको बताता है कि क्या आपको अपडेट करने की आवश्यकता है - इसके लिए पूर्ण सिस्टम एक्सेस की आवश्यकता है। वह पूरी तरह से पागल है.
दूसरे शब्दों में, जावा ने वास्तव में सैंडबॉक्स पर छोड़ दिया है। डिफ़ॉल्ट रूप से, आप या तो जावा एप्लेट नहीं चला सकते हैं या इसे अपने सिस्टम तक पूरी पहुंच के साथ चला सकते हैं। सैंडबॉक्स का उपयोग करने का कोई तरीका नहीं है जब तक कि आप जावा की सुरक्षा सेटिंग्स को ट्वीक न करें। सैंडबॉक्स इतना अविश्वसनीय है कि आपके द्वारा ऑनलाइन किए जाने वाले जावा कोड के प्रत्येक बिट को आपके सिस्टम तक पूर्ण पहुंच की आवश्यकता होती है। आप केवल एक जावा प्रोग्राम डाउनलोड कर सकते हैं और ब्राउज़र प्लग-इन पर निर्भर होने के बजाय इसे चला सकते हैं, जो मूल रूप से प्रदान करने के लिए डिज़ाइन की गई अतिरिक्त सुरक्षा की पेशकश नहीं करता है।.
जैसा कि एक जावा डेवलपर ने समझाया: "सुरक्षा में सुधार के बहाने ओरेकल जानबूझकर जावा सुरक्षा सैंडबॉक्स को मार रहा है।"
वेब ब्राउजर इसे खुद ही डिसेबल कर रहे हैं
शुक्र है कि ओरेकल की निष्क्रियता को ठीक करने के लिए वेब ब्राउज़र कदम बढ़ा रहे हैं। यहां तक कि अगर आपके पास जावा ब्राउज़र प्लग-इन स्थापित और सक्षम है, तो क्रोम और फ़ायरफ़ॉक्स जावा सामग्री को डिफ़ॉल्ट रूप से लोड नहीं करेंगे। वे जावा सामग्री के लिए "क्लिक-टू-प्ले" का उपयोग करते हैं.
इंटरनेट एक्सप्लोरर अभी भी स्वचालित रूप से जावा सामग्री को लोड करता है। इंटरनेट एक्सप्लोरर में कुछ हद तक सुधार हुआ है - यह अंततः अगस्त, 2014 में "विंडोज 8.1 अगस्त अपडेट" (उर्फ विंडोज 8.1 अपडेट 2) के साथ-साथ कमजोर एक्टिवएक्स नियंत्रण को अवरुद्ध करना शुरू कर दिया। क्रोम और फ़ायरफ़ॉक्स बहुत लंबे समय से ऐसा कर रहे हैं। । इंटरनेट एक्सप्लोरर यहां अन्य ब्राउज़रों के पीछे है - फिर से.
जावा प्लग-इन को कैसे अक्षम करें
जिन लोगों को जावा स्थापित करने की आवश्यकता है, उन्हें कम से कम जावा कंट्रोल पैनल से प्लग-इन को अक्षम करना चाहिए। जावा के हाल के संस्करणों के साथ, आप स्टार्ट मेनू या स्टार्ट स्क्रीन खोलने के लिए एक बार विंडोज की को टैप कर सकते हैं, "जावा" टाइप करें और फिर "जावा कॉन्फ़िगर करें" शॉर्टकट पर क्लिक करें। सुरक्षा टैब पर, "ब्राउज़र में जावा सामग्री सक्षम करें" विकल्प को अनचेक करें.
आपके द्वारा प्लग-इन, Minecraft और किसी भी अन्य डेस्कटॉप एप्लिकेशन को अक्षम करने के बाद भी, जो जावा पर निर्भर करता है, बस ठीक चलेगा। यह केवल वेब पेजों पर एम्बेडेड जावा एप्लेट को ब्लॉक करेगा.
हां, जंगली में जावा एप्लेट अभी भी मौजूद हैं। आप शायद उन्हें सबसे अधिक बार आंतरिक साइटों पर पाएंगे जहां कुछ कंपनी के पास जावा एपलेट के रूप में लिखा गया एक प्राचीन अनुप्रयोग है। लेकिन जावा एप्लेट एक मृत तकनीक है और वे उपभोक्ता वेब से गायब हो रहे हैं। वे फ्लैश के साथ प्रतिस्पर्धा करने वाले थे, लेकिन वे हार गए। यहां तक कि अगर आपको जावा की आवश्यकता है, तो आपको संभवतः प्लग-इन की आवश्यकता नहीं है.
सामयिक कंपनी या उपयोगकर्ता को जावा ब्राउज़र प्लग-इन की आवश्यकता होती है, उसे जावा के नियंत्रण कक्ष में जाना चाहिए और इसे सक्षम करने के लिए चुनना चाहिए। प्लग-इन को एक विरासत संगतता विकल्प माना जाना चाहिए.
