2013 年のすべてのコンピューター侵害の 91% は Java が原因でした。ほとんどの人は Java ブラウザ プラグインを有効にしているだけでなく、古くて脆弱なバージョンを使用しています。 Oracle さん、このプラグインをデフォルトで無効にする時期が来ました。
オラクルは状況が大惨事であることを認識しています。彼らは、もともと悪意のある Java アプレットからユーザーを保護するために設計された Java プラグインのセキュリティ サンドボックスを放棄しました。 Web 上の Java アプレットは、デフォルト設定でシステムに完全にアクセスできます。
Java ブラウザ プラグインは完全な災害です
Java の擁護者は、私たちのようなサイトが Java は非常に安全ではないと書くたびに不満を言う傾向があります。 「それは単なるブラウザのプラグインです」と彼らは言い、それがいかに壊れているかを認めています。しかし、その安全でないブラウザ プラグインは、Java のすべてのインストールでデフォルトで有効になっています。統計がすべてを物語っています。ここ How-To Geek でも、モバイル以外の訪問者の 95% が Java プラグインを有効にしています。そして、私たちは読者に Java をアンインストールする か、 少なくともプラグインを無効にするよう に言い続ける Web サイトです。
インターネット全体での調査によると、Java がインストールされているコンピュータの大部分には、悪意のある Web サイトの荒らしに利用できる古い Java ブラウザ プラグインが搭載されていることがわかっています。 2013 年に Websense Security Labs が行った調査 では、コンピュータの 80% に古くて脆弱なバージョンの Java がインストールされていることが示されました。最も慈善的な研究でさえ恐ろしいものです。Java プラグインの 50% 以上が古いと主張する傾向があります。
2014 年の シスコの年次セキュリティ報告書 によると、2013 年のすべての攻撃の 91% は Java に対するものでした。 Oracle は、この問題を利用して 、ひどい Ask Toolbar やその他のジャンクウェアを Java アップデートにバンドルすることさえ試みています — 上品でいてください、Oracle さん。
Oracle は Java プラグインのサンドボックス化を諦めた
Java プラグインは、Adobe Flash の動作と同様に、Web ページに埋め込まれた Java プログラム (または「Java アプレット」) を実行します。 Java はデスクトップ アプリケーションからサーバー ソフトウェアに至るまであらゆるものに使用される複雑な言語であるため、プラグインは当初、これらの Java プログラムを 安全なサンドボックス で実行するように設計されました。これにより、たとえ攻撃者がシステムに対して厄介なことをしようとしたとしても、それを防ぐことができます。
とにかくそれが理論です。実際には、Java アプレットがサンドボックスから逃れ、システム上で荒々しい攻撃を実行できるようにする、終わりのない脆弱性の流れが存在します。
オラクルは、サンドボックスが基本的に壊れていることを認識しており、サンドボックスは基本的に機能しなくなっています。彼らはそれを諦めたのです。デフォルトでは、Java は「署名されていない」アプレットを実行しなくなります。セキュリティ サンドボックスが信頼できるものであれば、署名のないアプレットを実行しても問題はありません。Web 上で見つけた Adobe Flash コンテンツを実行しても通常は問題がないのはそのためです。 Flashに脆弱性があっても修正されており、AdobeはFlashのサンドボックス化を諦めていない。
デフォルトでは、Java は署名付きアプレットのみをロードします。セキュリティが大幅に向上したようで、これは問題ありません。ただし、ここで重大な結果が生じます。 Java アプレットが署名されている場合、そのアプレットは「信頼されている」とみなされ、サンドボックスは使用されません。 Java の警告メッセージには次のように書かれています。
「このアプリケーションは無制限のアクセスで実行されるため、コンピュータと個人情報が危険にさらされる可能性があります。」
Oracle 独自の Java バージョン チェック アプレット (Java を実行してインストールされているバージョンをチェックし、更新が必要かどうかを通知する単純な小さなアプレット) でさえ、この完全なシステム アクセスが必要です。それはまったく正気の沙汰ではありません。
言い換えれば、Java はサンドボックスを本当に放棄したのです。デフォルトでは、Java アプレットを実行できないか、システムへのフルアクセスで Java アプレットを実行することができます。 Java のセキュリティ設定を調整しない限り、サンドボックスを使用する方法はありません。サンドボックスは非常に信頼できないため、オンラインで遭遇するあらゆる Java コードにはシステムへの完全なアクセスが必要です。ブラウザ プラグインに依存するのではなく、Java プログラムをダウンロードして実行したほうがよいでしょう。ブラウザ プラグインには、本来提供するように設計されていた追加のセキュリティが提供されません。
ある Java 開発者は次のように 説明しました 。「Oracle は、セキュリティを向上させるという口実のもと、Java セキュリティ サンドボックスを意図的に廃止しています。」
Webブラウザが勝手に無効化している
ありがたいことに、Web ブラウザーが Oracle の無策を正すために介入しつつあります。 Java ブラウザ プラグインをインストールして有効にしても、Chrome と Firefox はデフォルトでは Java コンテンツをロードしません。 Java コンテンツには「クリック・トゥ・プレイ」を使用します。
Internet Explorer は引き続き Java コンテンツを自動的に読み込みます。 Internet Explorer はいくらか改善されました — 2014 年 8 月の 「Windows 8.1 August Update」 (別名 Windows 8.1 Update 2) とともに、ついに古くて脆弱な ActiveX コントロールをブロックし始めました。Chrome と Firefox はずっとこれを行ってきました。より長いです。ここでも Internet Explorer は他のブラウザに遅れをとっています。
Javaプラグインを無効にする方法
Java をインストールする必要がある人は、少なくとも Java コントロール パネルからプラグインを無効にする必要があります。 Java の最新バージョンでは、Windows キーを 1 回タップしてスタート メニューまたはスタート画面を開き、「Java」と入力して、「Java の構成」ショートカットをクリックします。 [セキュリティ] タブで、[ブラウザで Java コンテンツを有効にする] オプションのチェックを外します。
プラグインを無効にしても、 および Java に依存するその他のデスクトップ アプリケーションは問題なく実行されます。これは、Web ページに埋め込まれた Java アプレットのみをブロックします。
はい、Java アプレットはまだ実際に存在しています。おそらく、Java アプレットとして記述された古いアプリケーションを保有している企業の内部サイトでこれらを最も頻繁に見つけるでしょう。しかし、Java アプレットは死んだテクノロジーであり、消費者の Web から消えつつあります。彼らはフラッシュと競争する予定だったが、負けた。 Java が必要な場合でも、プラグインはおそらく必要ありません。
Java ブラウザ プラグインが必要になる場合がある企業やユーザーは、Java のコントロール パネルにアクセスして、プラグインを有効にすることを選択する必要があります。このプラグインは従来の互換性オプションとして考慮する必要があります。
