Java war 2013 für 91 Prozent aller Computerkompromittierungen verantwortlich. Die meisten Leute haben nicht nur das Java-Browser-Plug-in aktiviert, sondern verwenden auch eine veraltete, anfällige Version. Hey, Oracle – es ist an der Zeit, dieses Plug-In standardmäßig zu deaktivieren.
Oracle weiß, dass die Situation eine Katastrophe ist. Sie haben die Sicherheits-Sandbox des Java-Plug-Ins aufgegeben, die ursprünglich dazu gedacht war, Sie vor bösartigen Java-Applets zu schützen. Java-Applets im Web erhalten mit den Standardeinstellungen vollständigen Zugriff auf Ihr System.
Das Java Browser Plug-in ist eine komplette Katastrophe
Java-Verteidiger neigen dazu, sich zu beschweren, wenn Websites wie unsere schreiben, dass Java extrem unsicher ist. „Das ist nur das Browser-Plug-in“, sagen sie – und wissen, wie kaputt es ist. Aber dieses unsichere Browser-Plug-In ist standardmäßig in jeder einzelnen Java-Installation aktiviert. Die Statistik spricht für sich. Sogar hier bei How-To Geek haben 95 Prozent unserer nicht-mobilen Besucher das Java-Plug-in aktiviert. Und wir sind eine Website, die unsere Leser immer wieder auffordert, Java zu deinstallieren oder zumindest das Plug-in zu deaktivieren.
Internetweit zeigen Studien immer wieder, dass auf den meisten Computern mit installiertem Java ein veraltetes Java-Browser-Plug-in verfügbar ist, mit dem bösartige Websites verwüstet werden können. Im Jahr 2013, a Studie von Websense Security Labs zeigten, dass 80 Prozent der Computer über veraltete, anfällige Java-Versionen verfügten. Selbst die wohltätigsten Studien sind beängstigend – sie behaupten, dass mehr als 50 Prozent der Java-Plug-Ins veraltet sind.
Im Jahr 2014, Ciscos jährlicher Sicherheitsbericht 91 Prozent aller Angriffe im Jahr 2013 richteten sich gegen Java. Oracle versucht sogar, dieses Problem auszunutzen, indem es die schreckliche Ask Toolbar und andere Junkware mit Java-Updates bündelt – bleiben Sie edel, Oracle.
Oracle hat das Sandboxing des Java-Plug-ins aufgegeben
Das Java-Plug-in führt ein Java-Programm – oder „Java-Applet“ – aus, das in eine Webseite eingebettet ist, ähnlich wie bei Adobe Flash. Da Java eine komplexe Sprache ist, die für alles verwendet wird, von Desktopanwendungen bis hin zu Serversoftware, wurde das Plug-in ursprünglich entwickelt, um diese Java-Programme in einer sicheren Sandbox auszuführen. Dies würde verhindern, dass sie Ihrem System unangenehme Dinge antun, selbst wenn sie es versuchen würden.
Das ist jedenfalls die Theorie. In der Praxis gibt es einen scheinbar nicht enden wollenden Strom von Schwachstellen, die es Java-Applets ermöglichen, der Sandbox zu entkommen und grob über Ihr System zu laufen.
Oracle erkennt, dass die Sandbox jetzt im Grunde kaputt ist, also ist die Sandbox jetzt im Grunde tot. Sie haben es aufgegeben. Standardmäßig führt Java keine „unsignierten“ Applets mehr aus. Das Ausführen nicht signierter Applets sollte kein Problem darstellen, wenn die Sicherheits-Sandbox vertrauenswürdig war – deshalb ist es im Allgemeinen kein Problem, Adobe Flash-Inhalte auszuführen, die Sie im Internet finden. Selbst wenn es Schwachstellen in Flash gibt, werden diese behoben und Adobe gibt das Sandboxing von Flash nicht auf.
Standardmäßig lädt Java nur signierte Applets. Das klingt gut, wie eine gute Sicherheitsverbesserung. Allerdings gibt es hier eine schwerwiegende Konsequenz. Wenn ein Java-Applet signiert ist, gilt es als „vertrauenswürdig“ und verwendet die Sandbox nicht. Wie es in der Warnmeldung von Java heißt:
„Diese Anwendung wird mit uneingeschränktem Zugriff ausgeführt, was Ihren Computer und Ihre persönlichen Daten gefährden kann.“
Sogar Oracles eigenes Java-Versionsprüfungs-Applet – ein einfaches kleines Applet, das Java ausführt, um Ihre installierte Version zu überprüfen und Ihnen mitteilt, ob Sie aktualisieren müssen – erfordert diesen vollständigen Systemzugriff. Das ist völlig verrückt.
Mit anderen Worten, Java hat die Sandbox wirklich aufgegeben. Standardmäßig können Sie ein Java-Applet entweder nicht oder mit vollem Zugriff auf Ihr System ausführen. Es gibt keine Möglichkeit, die Sandbox zu verwenden, es sei denn, Sie optimieren die Sicherheitseinstellungen von Java. Die Sandbox ist so unzuverlässig, dass jeder Java-Code, auf den Sie online stoßen, vollen Zugriff auf Ihr System benötigt. Sie können auch einfach ein Java-Programm herunterladen und ausführen, anstatt sich auf das Browser-Plug-In zu verlassen, das nicht die zusätzliche Sicherheit bietet, für die es ursprünglich entwickelt wurde.
Als ein Java-Entwickler erklärt: „Oracle tötet absichtlich die Java-Sicherheits-Sandbox unter dem Vorwand, die Sicherheit zu verbessern.“
Webbrowser deaktivieren es von selbst
Zum Glück greifen Webbrowser ein, um die Untätigkeit von Oracle zu beheben. Auch wenn Sie das Java-Browser-Plug-in installiert und aktiviert haben, laden Chrome und Firefox standardmäßig keine Java-Inhalte. Sie verwenden „Click-to-Play“ für Java-Inhalte.
Internet Explorer lädt weiterhin automatisch Java-Inhalte. Internet Explorer hat sich etwas verbessert – er hat endlich damit begonnen, veraltete, anfällige ActiveX-Steuerelemente zusammen mit dem „Windows 8.1 August Update“ (auch bekannt als Windows 8.1 Update 2) im August 2014 zu blockieren. Chrome und Firefox tun dies schon viel länger . Der Internet Explorer steht auch hier hinter anderen Browsern – wieder.
So deaktivieren Sie das Java-Plug-in
Jeder, der Java installiert braucht, sollte das Plug-In zumindest in der Java-Systemsteuerung deaktivieren. Bei neueren Java-Versionen können Sie einmal auf die Windows-Taste tippen, um das Startmenü oder den Startbildschirm zu öffnen, „Java“ eingeben und dann auf die Verknüpfung „Java konfigurieren“ klicken. Deaktivieren Sie auf der Registerkarte Sicherheit die Option «Java-Inhalt im Browser aktivieren».
Auch nachdem Sie das Plug-In deaktiviert haben, laufen Minecraft und jede andere Desktop-Anwendung, die von Java abhängt, einwandfrei. Dadurch werden nur Java-Applets blockiert, die in Webseiten eingebettet sind.
Ja, Java-Applets existieren noch in freier Wildbahn. Sie werden sie wahrscheinlich am häufigsten auf internen Websites finden, auf denen einige Unternehmen eine alte Anwendung haben, die als Java-Applet geschrieben wurde. Aber Java-Applets sind eine tote Technologie und verschwinden aus dem Consumer-Web. Sie sollten mit Flash konkurrieren, aber sie verloren. Selbst wenn Sie Java benötigen, benötigen Sie das Plug-in wahrscheinlich nicht.
Das gelegentliche Unternehmen oder der Benutzer, der das Java-Browser-Plug-in benötigt, sollte in die Systemsteuerung von Java gehen und es aktivieren. Das Plug-in sollte als Legacy-Kompatibilitätsoption betrachtet werden.