Oracle tahu situasinya adalah bencana. Mereka menyerah di kotak pasir keamanan plug-in Java, yang awalnya dirancang untuk melindungi Anda dari applet Java berbahaya. Applet Java di web mendapatkan akses lengkap ke sistem Anda dengan pengaturan default.
Java Browser Plug-in adalah Bencana Lengkap
Pembela Jawa cenderung mengeluh setiap kali situs seperti kami menulis bahwa Java sangat tidak aman. "Itu hanya plug-in browser," kata mereka - mengakui betapa rusaknya itu. Tapi itu plug-in browser yang tidak aman diaktifkan secara default di setiap instalasi Java di luar sana. Statistik berbicara sendiri. Bahkan di sini di How-To Geek, 95 persen pengunjung non-seluler kami memiliki plug-in Java yang diaktifkan. Dan kami adalah situs web yang terus memberi tahu pembaca kami untuk menghapus Java atau setidaknya menonaktifkan plug-in.
Internet luas, penelitian tetap menunjukkan bahwa mayoritas komputer dengan Java yang diinstal memiliki plug-in browser Java yang sudah tidak tersedia untuk situs web jahat untuk dihancurkan. Pada 2013, sebuah studi oleh Websense Security Labs menunjukkan bahwa 80 persen komputer memiliki versi Jawa yang sudah usang dan rentan. Bahkan studi yang paling amoral pun menakutkan - mereka cenderung mengklaim lebih dari 50 persen plug-in Java sudah ketinggalan zaman.
Pada tahun 2014, laporan keamanan tahunan Cisco mengatakan 91 persen dari semua serangan pada tahun 2013 melawan Jawa. Oracle bahkan mencoba untuk mengambil keuntungan dari masalah ini dengan menggabungkan Ask Toolbar yang mengerikan dan junkware lainnya dengan pembaruan Java - tetap berkelas, Oracle.
Oracle Gave Up di Java Plug-in's Sandboxing
Java plug-in menjalankan program Java - atau "Java applet" - tertanam pada halaman web, mirip dengan cara kerja Adobe Flash. Karena Java adalah bahasa kompleks yang digunakan untuk segala hal mulai dari aplikasi desktop hingga perangkat lunak server, plug-in pada awalnya dirancang untuk menjalankan program Java ini di kotak pasir yang aman. Ini akan mencegah mereka melakukan hal-hal buruk ke sistem Anda, bahkan jika mereka mencoba.
Itu teorinya. Dalam praktiknya, ada aliran kerentanan yang tampaknya tidak pernah berakhir yang memungkinkan applet Java untuk lolos dari kotak pasir dan menjalankan kesalahan kasar pada sistem Anda.
Oracle menyadari bahwa sandbox sekarang pada dasarnya rusak, sehingga kotak pasir sekarang pada dasarnya mati. Mereka sudah menyerah. Secara default, Java tidak akan lagi menjalankan applet "unsigned". Menjalankan applet yang tidak bertanda tangan seharusnya tidak menjadi masalah jika kotak pasir keamanan dapat dipercaya - itulah sebabnya umumnya tidak masalah untuk menjalankan konten Adobe Flash apa pun yang Anda temukan di web. Bahkan jika ada kerentanan di Flash, mereka tetap dan Adobe tidak menyerah pada kotak pasir Flash.
“This application will run with unrestricted access which may put your computer and personal information at risk.”
Bahkan applet pemeriksaan versi Java milik Oracle - applet kecil sederhana yang menjalankan Java untuk memeriksa versi yang Anda instal dan memberi tahu Anda jika Anda perlu memperbarui - memerlukan akses sistem penuh ini. Itu benar-benar gila.
Seperti yang dijelaskan salah satu pengembang Java: "Oracle dengan sengaja membunuh kotak pasir keamanan Java dengan dalih meningkatkan keamanan."
Browser Web Menonaktifkan Ini Sendiri
Untungnya, browser web sedang melangkah untuk memperbaiki kelambanan Oracle. Meskipun Anda telah menginstal dan mengaktifkan plug-in browser Java, Chrome dan Firefox tidak akan memuat konten Java secara default. Mereka menggunakan "click-to-play" untuk konten Java.
Internet Explorer masih secara otomatis memuat konten Java. Internet Explorer agak membaik - akhirnya mulai memblokir kontrol ActiveX yang rawan dan usang bersama dengan "Pembaruan Windows 8.1 Agustus" (alias Windows 8.1 Update 2) pada bulan Agustus 2014. Chrome dan Firefox telah melakukan ini lebih lama lagi.. Internet Explorer berada di belakang peramban lain di sini - lagi.
Cara Menonaktifkan Java Plug-in
Setiap orang yang membutuhkan Java diinstal setidaknya harus menonaktifkan plug-in dari Java Control Panel. Dengan versi Java terbaru, Anda dapat mengetuk tombol Windows satu kali untuk membuka menu Mulai atau layar Mulai, ketik "Java," lalu klik pintasan "Konfigurasi Java". Pada tab Keamanan, hapus centang opsi "Aktifkan konten Java di browser".
Bahkan setelah Anda menonaktifkan plug-in, Minecraft dan aplikasi desktop lainnya yang bergantung pada Java akan berjalan baik-baik saja. Ini hanya akan memblokir applet Java yang disematkan di halaman web.
Ya, applet Java masih ada di alam liar. Anda mungkin akan menemukannya paling sering di situs internal tempat beberapa perusahaan memiliki aplikasi kuno yang ditulis sebagai applet Java. Tetapi applet Java adalah teknologi mati dan mereka menghilang dari web konsumen. Mereka seharusnya bersaing dengan Flash, tetapi mereka kalah. Bahkan jika Anda membutuhkan Java, Anda mungkin tidak memerlukan plug-in.
Kadang-kadang perusahaan atau pengguna yang membutuhkan plug-in browser Java harus masuk ke Control Panel Jawa dan memilih untuk mengaktifkannya. Plug-in harus dianggap sebagai opsi kompatibilitas lama.
