Video: Top 10 Useimmat hyödyllisiä verkkosivuja koskaan! (Marraskuu 2024)
Java on hyökkäyksen alla.
Paitsi mustista hattuista, jotka tekevät toistoa latauksista, haitallisista liitteistä ja muista hyökkäyksistä, jotka hyödyntävät tekniikan haavoittuvuuksia, myös valkoisista hattuista, jotka väittävät, että käyttäjien ei pitäisi käyttää sitä ollenkaan. Jopa sen jälkeen, kun Oracle oli korjannut viimeisimmän osan nollapäivän Java-haavoittuvuuksista, kotimaan turvallisuuden osaston (US-CERT) tietokoneen hätävalmiustiimi suositteli käyttäjien poistamaan Java käytöstä.
Aivan kuten Adoben Flash, Java on suosittu kohde, koska sen asennuskanta on erittäin suuri. Jos et todellakaan käytä Java-sivustoja, siirry eteenpäin ja jätä se. Meillä on jopa mukava joukko ohjeita Java: n poistamiseksi käytöstä selaimessa.
Mutta käytän Javaa!
Sitten on muita meistä, jotka todella käyttävät Javaa säännöllisesti.
"Epäilen, että kuka tahansa, joka kiinnittää huomiota turvallisuusneuvoihin, käyttää Java: ta, IE 6/7/8, et. Al., Koska he haluavat - ajamme näitä asioita, koska meidän on tehtävä, ja päätös on meidän käsillämme", turvallisuusguru Jack Daniel kirjoitti aiheesta Uncommon Sense Security.
Kun katselin ympärilleni, mitkä sovellukset käyttivät Javaa, huomasin, että monet suositut työpöytäsovellukset sopivat laskuun, mukaan lukien Office-vaihtoehdot, ThinkFree Office, LibreOffice ja OpenOffice sekä suositut pelit, kuten Minecraft. Useat Adobe-sovellukset vaativat myös Java: n tiettyjen komponenttien suorittamiseen. Ei hätää, koska nämä ovat itsenäisiä Java-sovelluksia, eivätkä ne, jotka toimivat Web-selaimessa.. Jos noudattit vaiheittaisia ohjeitamme, käytät Java vain Java-selaimessa. Paikalliset sovellukset toimivat edelleen hyvin.
Mutta osoittautuu, että on paljon pelisivustoja ja yrityksiä, jotka käyttävät edelleen Javaa. Erikoistuneet pankkipalvelut, kuten Citi Private Bank, joka yhdistää sijoittamisen ja perinteisen pankkitoiminnan yhdeksi tiliksi, näyttävät olevan yksi esimerkki. Pilvipalvelut, kuten Box.net, käyttävät Java-tiedostoja massatiedostojen lataamiseen. Citrix ja Cisco tarjoavat molemmat asiakasystävällisiä SSL VPN -tuotteita, joiden avulla käyttäjät voivat luoda turvallisen etäkäytön VPN-tunnelin Java-yhteensopivan Web-selaimen avulla.
Oletko opiskelija? On todennäköistä, että koulu käyttää Blackboardia, joka vaatii Java-laajennuksen uusimman version tiedostojen ja liitteiden lähettämiseen, reaaliaikaisen chat-ominaisuuden Virtual Classroom käyttöön ja tiettyjen vuorovaikutteisten ominaisuuksien käyttöönottoon käyttöympäristössä.
Pogo.com ja KidsPlayPark.com tarjoavat online-Java-pelejä. Useat Pogon käyttäjät, jotka ovat huolissaan uusimmista uhista, näyttävät korvanneen Java 7: n Java 6: lla (jota Oracle ei enää tue helmikuun jälkeen) käyttäjäfoorumien viestien mukaan. Vain jotta tiedät, se on uskomattoman huono idea. Vanhentuneisiin ohjelmistoihin kohdistuvia hyökkäyksiä on paljon; Ei tarvitse riskittää kokonaan erilaisilla hyökkäyksillä pelkän uusimman sadon välttämiseksi.
Mitkä ovat vaihtoehdot IT: lle?
"Jos sinulla on liiketoimintakriittisiä sovelluksia, jotka vaativat Java: yritä löytää korvaava", SANS-instituutin Johannes Ullrich kirjoitti Internet Storm Center -blogissa viime viikolla.
Web-konferenssialustat näyttävät olevan suurimpia esteitä. Ciscon WebEx ja Citrix GoToMeeting vaativat Java -sovellusta, mutta molemmat alustat ovat äskettäin muokanneet sovelluksiaan käyttämään erilaista versiota, jos se ei löydä Javaa. Citrix kertoi, että se on parhaillaan poistamassa Java kokonaan. Muut avaruuden alat, mukaan lukien MeetingBurner ja Brother's OmniJoin, käyttävät kuitenkin edelleen Java: ta. Join.me, ClickMeeting ja ReadyTalk ovat Flash-pohjaisia.
Vaikka etäkäyttötyökalut olivat ennenkin pääosin Java-pohjaisia, on olemassa kasvava luettelo vaihtoehdoista, joita voidaan käyttää tekniseen tukeen, Sophosin turvallisuusneuvoja Chet Wisniewski kertoi SecurityWatchille . Etäpöytätietokoneet on myös sisäänrakennettu Mac OS X: ään ja Windows: iin.
"Tukenut äitini ja isäni, käytän ilmaista LogMeIn-versiota", hän sanoi. LogMeIn Free käyttää ActiveX: ää.
Entä jos en voi vaihtaa?
Monille yrityksille "ei ole vaihtoehtoa", Secunian CSO: n edustaja Thomas Kristensen kertoi SecurityWatchille . Vaikka joidenkin sovellusten korvaaminen voi olla mahdollista, yleensä järjestelmänvalvojien on keksittävä muita tapoja työntekijöidensä suojelemiseksi. Yksi tapa vähentää hyökkäyspintaa on antaa Java käyttöön vain niille, jotka sitä todella tarvitsevat, ja poistaa sen käytöstä kaikilta muilta, Kristensen sanoi.
Sen sijaan, että työntekijät käskivät lopettaa Java-käytön, organisaatioiden tulisi keskittyä "kuplan käärimiseen" käyttäjien suojelemiseksi, Invincean Anup Ghosh kertoi SecurityWatchille . Käyttäjät voivat surffata verkossa virtualisoidun selaimen kautta, ja jos he kohtaavat vahingollisia sivustoja, avaavat vahingossa boobo-loukkuun jääneen tiedoston tai yrittävät ladata haittaohjelmia, virtuaaliympäristö estäisi hyökkäyksen ajamisen todellisella koneella. Toinen virtuaaliselain suljetaan, hyökkäys poistetaan. Ja mikä parasta, virtuaaliselain suojaa sinua laajemmalta, ei vain Java-pohjaisilta, uhkilta.
Käyttäjät voivat käyttää kahden selaimen järjestelmää. Jos selaat yleensä verkkoa esimerkiksi Firefoxilla, harkitse Java-laajennuksen poistamista käytöstä Firefoxissa. Ota sitten Java käyttöön vaihtoehtoisessa selaimessa, kuten Chromessa, IE9, Safari jne., Ja selaa vain sivustoja, jotka tarvitsevat Javaa, eikä koskaan yleiseen Web-selailuun.
"On parasta ottaa Java käyttöön yhdessä selaimessa ja käyttää sitä selainta vain verkkosivustoille, jotka eivät toimi ilman sitä", Wisniewski sanoi.
Hyökkääjät haluavat muuttaa kohteita - Flash, Internet Explorer, Adobe Reader. "Jokaisella on nolla päivä kerrallaan tai toisella", Metaforen Rob VandenBrink kirjoitti Internet Storm Centerissä.
Java-sovelluksen poistaminen käytöstä on vain yksi tapa suojautua verkkouhkilta, mutta ei universaali ratkaisu. Organisaatiot voivat rajoittaa altistumistaan ja ottaa käyttöön tietoturvakäytäntöjä, kuten Web-suodatusta ja käyttäjien käyttämistä rajoitetuilla oikeuksilla estääksesi hyökkäykset, hän sanoi.
"Lopeta sormen osoittaminen ja huovasuositusten antaminen, joita ei voida noudattaa", VandenBrink kirjoitti.
Seuraa Fahmidasta lisää, seuraa häntä Twitterissä @zdFYRashid.