ホームページ » の仕方 » OracleはJavaプラグインを保護できないのですが、なぜデフォルトでまだ有効になっているのですか?

    OracleはJavaプラグインを保護できないのですが、なぜデフォルトでまだ有効になっているのですか?

    Javaは、2013年のすべてのコンピュータの侵害の91%を担当していました。ほとんどの人は、Javaブラウザプラグインを有効にしているだけでなく、最新の脆弱なバージョンを使用しています。こんにちは、Oracle - それはデフォルトでそのプラグインを無効にする時が来ました.

    オラクルは状況が災害であることを知っています。彼らは、もともと悪意のあるJavaアプレットからあなたを守るために設計された、Javaプラグインのセキュリティサンドボックスをあきらめました。 Web上のJavaアプレットは、デフォルト設定でシステムに完全にアクセスできます。.

    Javaブラウザプラグインは完全な災害です

    私たちのようなサイトがJavaは非常に安全でないと書いているときはいつもJavaの擁護者は不平を言う傾向があります。 「それはただのブラウザプラグインです」と彼らは言います。しかし、その安全でないブラウザプラグインは、Javaのインストールごとにデフォルトで有効になっています。統計は彼ら自身のために話す。ここHow-To Geekでも、私たちの非モバイルビジターの95パーセントがJavaプラグインを有効にしています。そして私たちは、読者にJavaをアンインストールするか、少なくともプラグインを無効にするように伝え続けるWebサイトです。.

    インターネット全体の調査によると、Javaがインストールされているコンピュータの大多数には、悪意のあるWebサイトが破壊される可能性のある最新のJavaブラウザプラグインがあることが示されています。 2013年にWebsense Security Labsが行った調査によると、80%のコンピューターが古くて脆弱なバージョンのJavaを持っていたことが示されました。最も慈善的な研究でさえ怖いです - 彼らはJavaプラグインの50%以上が時代遅れであると主張する傾向があります.

    2014年、シスコの年間セキュリティレポートによると、2013年の全攻撃の91%がJavaに対するものでした。オラクルは、ひどいAsk Toolbarやその他のジャンクウェアをJavaのアップデートにバンドルすることで、この問題を利用しようとしています。.

    OracleがJava Plug-inのサンドボックス化を断念

    Javaプラグインは、Adobe Flashの動作と同様に、Webページに埋め込まれたJavaプログラム(つまり「Javaアプレット」)を実行します。 Javaはデスクトップアプリケーションからサーバーソフトウェアまですべてに使用される複雑な言語であるため、プラグインはもともとこれらのJavaプログラムを安全なサンドボックス内で実行するように設計されていました。たとえ彼らが試みたとしても、これは彼らがあなたのシステムに厄介なことをするのを防ぎます。.

    とにかく、それが理論です。実際には、Javaアプレットがサンドボックスをエスケープしてシステム上で悪用されることを可能にする、一見したところ無限の脆弱性が存在します。.

    オラクルは、サンドボックスが今では基本的に壊れていることを認識しているので、サンドボックスは今や基本的に死んでいます。彼らはそれをあきらめました。デフォルトでは、Javaは「署名されていない」アプレットを実行しなくなります。セキュリティサンドボックスが信頼できるものであれば、署名されていないアプレットを実行しても問題にならないはずです。Web上で見つけたAdobe Flashコンテンツを実行しても問題にならないのが一般的です。 Flashに脆弱性があったとしても、それらは修正されており、AdobeはFlashのサンドボックス化をあきらめていません。.

    デフォルトでは、Javaは署名付きアプレットのみをロードします。セキュリティの向上のように、これは問題ないようです。しかし、ここで深刻な影響があります。 Javaアプレットが署名されると、それは「信頼できる」と見なされ、サンドボックスは使用されません。 Javaの警告メッセージによれば、

    「このアプリケーションは、あなたのコンピュータや個人情報を危険にさらす可能性がある無制限のアクセスで実行されます。」

    Oracle自身のJavaバージョンチェックアプレット(インストールされているバージョンをチェックして更新が必要かどうかを確認するためにJavaを実行する単純な小さなアプレット)でも、このシステムへのフルアクセスが必要です。それは完全に狂気です.

    言い換えれば、Javaは本当にサンドボックスをあきらめています。デフォルトでは、Javaアプレットを実行することも、システムにフルアクセスして実行することもできません。 Javaのセキュリティ設定を調整しない限り、サンドボックスを使用する方法はありません。サンドボックスはあまり信頼できないので、あなたがオンラインで遭遇するあらゆるJavaコードはあなたのシステムへのフルアクセスを必要とします。ブラウザプラグインに頼るのではなく、単にJavaプログラムをダウンロードして実行するほうがよいかもしれません。.

    あるJava開発者は、次のように説明しています。「セキュリティを向上させることを狙って、OracleはJavaセキュリティサンドボックスを意図的に削除しています。」

    Webブラウザは自分で無効にしている

    ありがたいことに、WebブラウザはOracleの不作為を直すために介入しています。 Javaブラウザプラグインがインストールされ有効になっていても、ChromeおよびFirefoxはデフォルトでJavaコンテンツをロードしません。彼らは、Javaコンテンツに「クリックして再生」を使用しています。.

    Internet Explorerは依然として自動的にJavaコンテンツをロードします。 Internet Explorerはやや改善されました - 2014年8月に「Windows 8.1 August Update」(別名Windows 8.1 Update 2)と共に時代遅れの脆弱なActiveXコントロールをブロックするようになりました。ChromeとFirefoxはずっと以前からこれをやっています。 Internet Explorerはここで他のブラウザの背後にあります - これもまた.

    Javaプラグインを無効にする方法

    Javaをインストールする必要がある人は、少なくともJavaコントロールパネルからプラグインを無効にする必要があります。最近のバージョンのJavaでは、Windowsキーを1回タップして[スタート]メニューまたは[スタート]画面を開き、「Java」と入力して[Configure Java]ショートカットをクリックできます。 [セキュリティ]タブで、[ブラウザでJavaコンテンツを有効にする]オプションをオフにします。.

    プラグインを無効にした後も、Minecraftやその他のJavaに依存するデスクトップアプリケーションは問題なく動作します。これはWebページに埋め込まれたJavaアプレットのみをブロックします.


    はい、Javaアプレットはまだ存在しています。あなたはおそらく、ある企業がJavaアプレットとして書かれた古代のアプリケーションを持っている社内サイトでそれらを最も頻繁に見つけるでしょう。しかし、Javaアプレットは死んだテクノロジであり、消費者向けWebからは消えつつあります。彼らはFlashと競合するはずだったが、彼らは負けた。 Javaが必要な場合でも、おそらくプラグインは必要ありません。.

    時折Javaブラウザプラグインを必要とする会社やユーザーは、Javaのコントロールパネルにアクセスして有効にすることを選択する必要があります。プラグインはレガシ互換性オプションと見なされるべきです.