Perché Java è meno rischioso per la sicurezza Ora su Windows, Mac e Linux
Java, una volta componente vitale del web, ha perso popolarità negli ultimi anni. La maggior parte dei browser moderni blocca Java per impostazione predefinita e la maggior parte degli utenti domestici non ha più bisogno di installarla.
Abbiamo sentito da tempo che Java è il singolo software più insicuro per computer desktop, in particolare Windows. Ma è ancora vero? Cerchiamo di scavare e scoprire.
I problemi storici con Java
La ragione principale per cui Java è diventato un bersaglio così popolare per gli attacchi è quanto sia diffuso. Poiché Java è stato progettato per la massima compatibilità, viene eseguito su una serie di dispositivi. Oltre ai computer, Java alimenta lettori Blu-ray, stampanti, sistemi di pagamento per parcheggi, dispositivi per lotterie e molto altro. È l'opposto della sicurezza attraverso l'oscurità: una piattaforma importante fornisce il miglior risultato per un attacco.
Certo, ci occupiamo di Java sul desktop. E lì, il peggior reato è che Java non si aggiorni automaticamente da solo. A differenza di molti altri programmi moderni, Java richiede semplicemente all'utente di installare gli aggiornamenti quando disponibili. Ancora peggio, per impostazione predefinita, Java controlla solo gli aggiornamenti una volta alla settimana o anche una volta al mese. È pericoloso per un'app con così tante vulnerabilità di sicurezza.
Molte persone vedono il prompt di aggiornamento e lo ignorano, risultando in loro esecuzione una versione obsoleta di Java. E con le nuove versioni offerte regolarmente, anche chi installa alcuni aggiornamenti potrebbe sentirsi frustrato e ignorarne altri. In alcuni casi, anche quando gli utenti installano una nuova versione, lasciano anche la vecchia copia di Java installata. Questo allarga la loro vulnerabilità agli attacchi.
Naturalmente, non possiamo dimenticare la lunga serie di Java di includere la terribile Barra Ask. Ogni volta che hai installato o aggiornato Java, dovevi ricordare di deselezionare una casella o includere quel pezzo di spazzatura. Pur non essendo un exploit, questo ha lasciato un cattivo gusto nella bocca degli utenti.
Java compie oggi 22 anni.
Dovremmo inviare a Oracle una torta con la barra degli strumenti Ask su di essa.
- Tim Barrett (@timbarrett), 24 gennaio 2018
Java moderno
Ecco cosa c'era di sbagliato in Java in passato, ma che dire di recente?
Nell'ottobre 2017, Veracode ha rilevato che l'88% delle applicazioni Java contiene almeno un componente vulnerabile. All'inizio del 2016, Oracle ha annunciato che anche il programma di installazione di Java era vulnerabile. Se un utente malintenzionato ha inserito un file DLL con un nome specifico nella cartella Download, potrebbe generare un'infezione durante l'esecuzione del programma di installazione Java. E in generale, a causa della popolarità di Java, è necessario visitare solo un sito Web compromesso che ha sfruttato la copia obsoleta di Java per essere infettata.
Anche se questo significa che Java è tutt'altro che sicuro, ci sono anche buone notizie. All'inizio del 2016, Oracle ha annunciato di voler deprecare il plug-in del browser Java (che è la fonte della maggior parte dei problemi) in JDK 9, che è ora disponibile. I browser moderni hanno lasciato anche Java. Chrome ha abbandonato il supporto per Java alla fine del 2015 e Firefox ha smesso di supportarlo all'inizio del 2017. Il browser Edge di Microsoft, incluso in Windows 10, non supporta affatto Java.
Questo significa che se hai davvero bisogno di usare Java in un browser, dovrai usare Internet Explorer.
Le più grandi vulnerabilità
Poiché Java sta calando in popolarità, ciò che è preso come il software desktop più insicuro?
Gli ultimi dati di Flexera, dal primo trimestre 2017, rivelano che il 7,8% dei programmi sul PC medio ha raggiunto la fine della loro vita. Si posiziona tra i primi 10 programmi più esposti, in base alla quota di mercato moltiplicata per la percentuale di utenti che non sono stati sottoposti a patch:
- iTunes 12.x
- Java 8.x
- VLC Media Player 2.x
- Adobe Reader XI 11.x
- Adobe Shockwave Player 12.x
- Malwarebytes Anti-Malware 2.x
- Kindle per PC 1.x
- Adobe Acrobat Reader DC 15.x
- uTorrent 3.x
- iCloud per Windows 6.x
Questa lista potrebbe sorprendervi. Mentre Java non è il programma più rischioso, è ancora il secondo. Anche altri programmi che normalmente non associamo a rischi per la sicurezza, come VLC e Malwarebytes, occupano un posto. Questo dimostra l'importanza di mantenere aggiornato tutto il tuo software 4 App di Windows da tenere sempre aggiornate 4 App di Windows da tenere aggiornate in qualsiasi momento Mantenere aggiornato il tuo software è un modo per evitare guai con hacker e malware . Ti mostriamo come mantenere aggiornati Windows, i browser, gli strumenti antivirus e altre app. Per saperne di più, non solo quelli popolari.
Possiamo vedere di più esaminando il rapporto sulla sicurezza di Q3 2017 di Avast. Elenca i primi 10 programmi più obsoleti sui PC degli utenti:
- Java 6, 7 e 8
- Adobe Air
- Adobe Shockwave
- VLC Media Player
- iTunes
- Firefox
- 7-Zip
- WinRAR
- Tempo veloce
- Adobe Flash Player
Quando si includono le versioni precedenti, sembra che Java sia ancora in cima al software meno aggiornato. I plugin di Adobe sono anche grandi colpevoli, e vediamo che anche iTunes e VLC hanno fatto questo elenco.
Al contrario, secondo TechRadar, Chrome è il migliore per le app aggiornate. Durante l'indagine, l'88% degli utenti che eseguono Chrome ha installato l'ultima versione. Questo dimostra quanto gli aggiornamenti automatici silenziosi facciano una grande differenza, rispetto ai prompt di aggiornamento fastidiosi usati dai runtime di Java e Adobe.
Non dimenticare gli aggiornamenti del sistema operativo
Un altro componente fondamentale dell'aggiornamento da ricordare sono gli aggiornamenti del sistema operativo. Ricorda che gli utenti che avevano installato gli aggiornamenti automatici sono stati risparmiati dal terribile attacco ransomware a metà del 2017 The Global Ransomware Attack e How to Protect Your Data The Global Ransomware Attack e Come proteggere i tuoi dati Un enorme attacco informatico ha colpito computer in tutto il mondo. Sei stato colpito dal ransomware altamente virulento e autoreplicante? In caso contrario, come puoi proteggere i tuoi dati senza pagare il riscatto? Leggi di più . Anche se si tiene aggiornato software come Java, il computer è ancora a rischio se non si installano gli aggiornamenti di Windows.
Windows 10 rende questi aggiornamenti automatici facili Pro e Contro degli aggiornamenti forzati in Windows 10 Pro e contro degli aggiornamenti forzati in Windows 10 Gli aggiornamenti cambieranno in Windows 10. In questo momento puoi scegliere. Windows 10, tuttavia, imporrà gli aggiornamenti su di te. Offre vantaggi, come una maggiore sicurezza, ma può anche andare storto. Cosa c'è di più ... Leggi di più, ma quelli su Windows 7 potrebbero averli disabilitati. E chi usa ancora Windows XP quasi quattro anni dopo la sua fine della vita si sta mettendo a rischio maggiore 7 modi Windows 10 è più sicuro di Windows XP 7 modi Windows 10 è più sicuro di Windows XP Anche se non ti piace Windows 10, avresti dovuto essere migrato da Windows XP ormai. Vi mostriamo come il sistema operativo 13enne è ora pieno di problemi di sicurezza. Leggi di più .
Quanto è pericoloso Java, davvero?
Presi tutti insieme, possiamo ancora dire che Java è il più grande rischio per la sicurezza dei desktop? Non proprio. Sul lato negativo, le persone continuano a eseguire versioni obsolete di Java anche se in realtà non ne hanno bisogno. Questo li apre alle vulnerabilità della sicurezza. Tuttavia, dal momento che la maggior parte dei browser non supporta più Java, non è possibile attaccare come una volta.
L'anello debole nella sicurezza del tuo computer proviene dal software più popolare che non tieni aggiornato. Se hai la versione più recente di Java ma non hai ancora disinstallato QuickTime non supportato per Windows, è un grosso rischio. Avere una versione obsoleta di Flash, Adobe Reader o iTunes potrebbe aprirti anche all'attacco.
mood attuale: negare un aggiornamento del software per 18 mesi e ora lo strumento da scaricare non è aggiornato
- falene (@ 13_moths) 12 febbraio 2018
Possiamo ricavare dai dati sopra riportati che i programmi senza aggiornamenti automatici sono in genere meno sicuri. Ad esempio, iTunes chiede costantemente agli utenti di aggiornare, il che è fastidioso. 7 I programmatori di Stupid Things fanno gli utenti di Drive Crazy 7 I programmatori di Stupid Things fanno in modo che gli utenti di Drive Crazy I programmatori spesso prendono decisioni stupide che portano a fastidi per gli utenti. Ecco alcune stranezze di design comuni che fanno impazzire la gente. Leggi di più . Ciò porta le persone a ignorare gli aggiornamenti e a lasciare installata una versione non sicura.
Che dire di Mac e Linux?
Ci siamo concentrati su Java per Windows sopra, ma vale la pena di menzionare rapidamente come questo influenzi anche gli utenti Mac e Linux.
Sorprendentemente, mentre Apple non consente ai plug-in di eseguire automaticamente in Safari, il browser supporta ancora i vecchi plugin come Java e Silverlight. Mentre dovresti disinstallare Java sul tuo Mac, a meno che non ne abbia bisogno per una ragione specifica, Java non ha causato tanti problemi agli utenti Mac come a Windows. Ultimamente, la maggior parte dei buchi di sicurezza in macOS sono stati dovuti a sviste da parte di Apple stessa.
Devo installare NetBeans per qualcosa. La versione per Mac è fornita come pacchetto di installazione (!), Che era una bandiera rossa. Ma poi mi ha voluto installare Java ...
No. No, no, no. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.
- Thirsty Ass Ho (@_nulldragon) 8 febbraio 2018
Anche Linux non ha visto alcuna vulnerabilità Java unica. Se hai bisogno di un browser che supporti Java su Linux, puoi provare la versione ESR (Extended Support Release) di Firefox. Firefox fornisce questa versione per ambienti aziendali; fornisce gli ultimi aggiornamenti di sicurezza ma attende più a lungo per distribuire gli aggiornamenti delle funzionalità. La versione corrente, 52, supporta Java e altri plugin legacy sarà disponibile fino a qualche anno nel secondo trimestre del 2018.
Un futuro senza plugin
La buona notizia è che non hai bisogno della maggior parte di questi plugin potenzialmente pericolosi e fastidiosi. Think Flash è l'unico plug-in non sicuro? Ripensaci, pensa che Flash sia l'unico plug-in non sicuro? Think Again Flash non è l'unico plug-in per browser che presenta rischi per la privacy e la sicurezza online. Qui ci sono altri tre plugin che probabilmente hai installato nel tuo browser, ma dovresti disinstallarlo oggi. Leggi di più installato più. Pochissimi siti Web utilizzano Java e il principale programma che le persone hanno tenuto installato per Java-Minecraft include una versione sicura in bundle di Java ora Come installare la versione completa di Minecraft su un PC Linux Come installare la versione completa di Minecraft su Linux PC Minecraft è uno dei più grandi giochi al mondo e funziona praticamente su ogni piattaforma. Vuoi farlo funzionare sul tuo computer Linux? Ti mostreremo come. Leggi di più . Neanche gli altri plugin sono necessari. Microsoft ha deprecato Silverlight anni fa e avresti difficoltà a trovare un sito con contenuto Shockwave.
Flash è l'unica eccezione Die Flash Die: La storia attuale delle aziende tecnologiche che cercano di uccidere Flash Die Die die: la storia attuale delle aziende tecnologiche che cercano di uccidere Flash Flash è in declino da molto tempo, ma quando morirà? Leggi di più . La maggior parte dei browser lo supporta a causa della sua popolarità, ma Adobe lo eliminerà nel 2020. Fino ad allora, assicurati di aggiornare Flash sul tuo PC. Chrome lo fa automaticamente, quindi potresti non averlo nemmeno installato (il che è fantastico).
Quindi, in breve: Java è ancora insicuro, ma presenta meno rischi grazie ai browser che lo disabilitano. È necessario disinstallare programmi non necessari (inclusi vecchi plugin), tenere aggiornato il software sul computer Come assicurarsi che tutti i programmi siano aggiornati Come garantire che tutti i programmi rimangano aggiornati Mantenere il proprio il software aggiornato può essere un lavoro ingrato, quindi perché non permettere a FileHippo di trovare aggiornamenti per tutti i programmi obsoleti? Leggi altro e applica gli aggiornamenti del sistema operativo. Se lo fai, sarai benestante.
Hai ancora Java e altri plugin legacy installati? Se sì, a cosa ti servono? Lascia qui sotto i tuoi pensieri su Java!
Immagine di credito: avemario / Depositphotos
Scopri di più su: Computer Security, Java.