Startseite » wie man » Oracle kann das Java-Plug-In nicht sichern. Warum ist es noch standardmäßig aktiviert?

    Oracle kann das Java-Plug-In nicht sichern. Warum ist es noch standardmäßig aktiviert?

    Java war 2013 für 91 Prozent aller Computer-Kompromisse verantwortlich. Die meisten Benutzer haben nicht nur das Java-Browser-Plug-In aktiviert, sondern verwenden eine veraltete, anfällige Version. Hey, Oracle - es ist Zeit, das Plug-In standardmäßig zu deaktivieren.

    Oracle weiß, dass die Situation eine Katastrophe ist. Sie haben die Sicherheits-Sandbox des Java-Plug-Ins aufgegeben, die Sie ursprünglich vor bösartigen Java-Applets schützen sollte. Java-Applets im Web erhalten mit den Standardeinstellungen vollständigen Zugriff auf Ihr System.

    Das Java-Browser-Plug-In ist ein komplettes Desaster

    Verteidiger von Java neigen dazu, sich zu beschweren, wenn Websites wie die unsrige über extreme Unsicherheit von Java berichten. "Das ist nur das Browser-Plug-In", sagen sie - und erkennen an, wie kaputt es ist. Dieses unsichere Browser-Plug-In ist jedoch standardmäßig in jeder einzelnen Java-Installation aktiviert. Die Statistiken sprechen für sich. Selbst hier bei How-To Geek haben 95 Prozent unserer nicht mobilen Besucher das Java-Plug-In aktiviert. Und wir sind eine Website, auf der unsere Leser immer wieder aufgefordert werden, Java zu deinstallieren oder zumindest das Plug-In zu deaktivieren.

    Studien im Internet zeigen immer wieder, dass für die Mehrzahl der Computer, auf denen Java installiert ist, ein veraltetes Java-Browser-Plug-In für bösartige Websites zur Verfügung steht. Eine Studie von Websense Security Labs im Jahr 2013 ergab, dass 80 Prozent der Computer veraltete, anfällige Versionen von Java hatten. Selbst die meisten gemeinnützigen Studien sind beängstigend - sie behaupten, dass mehr als 50 Prozent der Java-Plug-Ins veraltet sind.

    Laut dem jährlichen Sicherheitsbericht von Cisco wurden im Jahr 2013 91 Prozent aller Angriffe gegen Java durchgeführt. Oracle versucht sogar, dieses Problem zu nutzen, indem es die schreckliche Ask Toolbar und andere Junkware mit Java-Updates bündelt - bleiben Sie stilvoll, Oracle.

    Oracle gab das Java-Plug-In für Sandboxing auf

    Das Java-Plug-In führt ein Java-Programm (Java-Applet) aus, das in eine Webseite eingebettet ist, ähnlich wie Adobe Flash. Da Java eine komplexe Sprache ist, die von Desktop-Anwendungen bis hin zu Serversoftware verwendet wird, wurde das Plug-In ursprünglich für die Ausführung dieser Java-Programme in einer sicheren Sandbox entwickelt. Dies würde verhindern, dass sie Ihrem System unangenehme Dinge antun, selbst wenn sie es versuchen würden.

    Das ist sowieso die Theorie. In der Praxis gibt es einen scheinbar unendlichen Strom von Schwachstellen, durch den Java-Applets aus der Sandbox entkommen und rau über das System laufen können.

    Oracle erkennt, dass die Sandbox jetzt im Grunde gebrochen ist, sodass die Sandbox jetzt im Grunde tot ist. Sie haben es aufgegeben. Standardmäßig führt Java keine "unsignierten" Applets mehr aus. Das Ausführen von nicht signierten Applets sollte kein Problem sein, wenn die Sicherheits-Sandbox vertrauenswürdig ist. Aus diesem Grund ist es normalerweise kein Problem, Adobe Flash-Inhalte auszuführen, die Sie im Web finden. Selbst wenn Sicherheitslücken in Flash vorhanden sind, wurden sie behoben und Adobe gibt das Sandboxing von Flash nicht auf.

    Java lädt standardmäßig nur signierte Applets. Das hört sich gut an, nach einer guten Sicherheitsverbesserung. Es gibt jedoch eine ernste Konsequenz hier. Wenn ein Java-Applet signiert ist, gilt es als "vertrauenswürdig" und verwendet die Sandbox nicht. Wie Javas Warnmeldung sagt:

    "Diese Anwendung kann mit uneingeschränktem Zugriff ausgeführt werden, wodurch Computer und persönliche Informationen gefährdet werden können."

    Sogar Oracle-eigenes Java-Versions-Applet - ein einfaches kleines Applet, das Java zur Überprüfung Ihrer installierten Version ausführt und Ihnen mitteilt, ob Sie ein Update durchführen müssen - erfordert diesen vollständigen Systemzugriff. Das ist völlig verrückt.

    Mit anderen Worten, Java hat die Sandbox wirklich aufgegeben. Standardmäßig können Sie entweder kein Java-Applet oder mit vollem Zugriff auf Ihr System ausführen. Die Sandbox kann nur verwendet werden, wenn Sie die Sicherheitseinstellungen von Java anpassen. Die Sandbox ist so unzuverlässig, dass jeder Java-Code, dem Sie online begegnen, vollen Zugriff auf Ihr System erfordert. Sie können auch einfach ein Java-Programm herunterladen und ausführen, anstatt sich auf das Browser-Plug-In zu verlassen, das nicht die zusätzliche Sicherheit bietet, die ursprünglich entwickelt wurde.

    Ein Java-Entwickler erklärte: "Oracle setzt die Java-Sicherheits-Sandbox absichtlich ab, um die Sicherheit zu verbessern."

    Webbrowser deaktivieren es allein

    Glücklicherweise treten Webbrowser ein, um die Untätigkeit von Oracle zu beheben. Selbst wenn Sie das Java-Browser-Plug-In installiert und aktiviert haben, lädt Chrome und Firefox standardmäßig keine Java-Inhalte. Sie verwenden "Click-to-Play" für Java-Inhalte.

    Internet Explorer lädt weiterhin automatisch Java-Inhalte. Der Internet Explorer hat sich etwas verbessert - er hat im August 2014 angefangen, veraltete, anfällige ActiveX-Steuerelemente zusammen mit dem „Windows 8.1 August Update“ (alias Windows 8.1 Update 2) zu blockieren. Chrome und Firefox machen dies schon viel länger . Internet Explorer steht hier wieder hinter anderen Browsern.

    So deaktivieren Sie das Java Plug-In

    Jeder, der Java installiert hat, sollte mindestens das Plug-In in der Java-Systemsteuerung deaktivieren. Bei aktuellen Versionen von Java können Sie einmal auf die Windows-Taste tippen, um das Startmenü oder den Startbildschirm zu öffnen, geben Sie "Java" ein und klicken Sie auf die Verknüpfung "Java konfigurieren". Deaktivieren Sie auf der Registerkarte "Sicherheit" die Option "Java-Inhalt im Browser aktivieren".

    Selbst nachdem Sie das Plug-In deaktiviert haben, werden Minecraft und andere Desktop-Anwendungen, die von Java abhängig sind, problemlos ausgeführt. Dadurch werden nur Java-Applets blockiert, die in Webseiten eingebettet sind.


    Ja, Java-Applets sind noch in der Wildnis vorhanden. Sie werden sie wahrscheinlich am häufigsten auf internen Websites finden, auf denen eine alte Anwendung als Java-Applet geschrieben wurde. Java-Applets sind jedoch eine tote Technologie und verschwinden aus dem Web der Verbraucher. Sie sollten mit Flash konkurrieren, aber sie verloren. Selbst wenn Sie Java benötigen, benötigen Sie das Plug-In wahrscheinlich nicht.

    Ein gelegentliches Unternehmen oder Benutzer, der das Java-Browser-Plug-In benötigt, sollte in die Systemsteuerung von Java gehen und diese aktivieren. Das Plug-In sollte als ältere Kompatibilitätsoption betrachtet werden.