Video: Variabelen in Java (November 2024)
Java wordt aangevallen.
Niet alleen van de zwarte hoeden die drive-by-downloads, kwaadaardige bijlagen en andere aanvallen maken die de kwetsbaarheden in de technologie misbruiken, maar ook van de witte hoeden die beweren dat gebruikers het helemaal niet zouden moeten gebruiken. Zelfs nadat Oracle de nieuwste batch zero-day kwetsbaarheden in Java had gepatcht, raadde het Computer Emergency Readiness Team (US-CERT) van het Department of Homeland Security gebruikers aan Java uit te schakelen.
Net als Adobe's Flash is Java een populair doelwit vanwege de enorm grote geïnstalleerde basis. Als je echt geen websites gebruikt waarvoor Java nodig is, ga je gang en dump je het. We hebben zelfs een mooie set instructies voor het uitschakelen van Java in uw browser.
Maar ik gebruik Java!
Dan zijn er de rest van ons die Java regelmatig gebruiken.
"Ik betwijfel of iemand die aandacht besteedt aan beveiligingsadvies, Java, IE 6/7/8, et. Al. Uitvoert omdat ze dat willen - we voeren deze dingen uit omdat het moet, en de beslissing ligt buiten onze controle, " beveiligingsgoeroe Jack Daniel schreef op Uncommon Sense Security.
Toen ik rondkeek om te zien welke applicaties Java gebruikten, realiseerde ik me dat veel populaire desktop-applicaties geschikt waren, waaronder Office-alternatieven, ThinkFree Office, LibreOffice en OpenOffice, evenals populaire games zoals Minecraft. Verschillende Adobe-toepassingen vereisen ook Java om bepaalde componenten uit te voeren. Niets om je zorgen over te maken, want dit zijn zelfstandige Java-toepassingen en niet degene die in de webbrowser worden uitgevoerd.. Als u onze stapsgewijze instructies hebt opgevolgd, hebt u Java alleen in de browser uitgeschakeld. Lokale applicaties werken nog steeds prima.
Maar het blijkt dat er veel goksites en bedrijven zijn die nog steeds Java gebruiken. Gespecialiseerde bankdiensten, zoals Citi Private Bank, die beleggen en traditioneel bankieren combineert in één rekening, lijken een voorbeeld te zijn. Cloudservices zoals Box.net bieden krachtige bulkupload-uploadtools met Java. Citrix en Cisco bieden beide clientloze SSL VPN-producten, waarmee gebruikers een veilige, op afstand toegankelijke VPN-tunnel kunnen opzetten met behulp van een voor Java geschikte webbrowser.
Ben je een student? De kans is groot dat uw school Blackboard gebruikt, waarvoor de nieuwste versie van de Java-plug-in vereist is om bestanden en bijlagen te uploaden, de realtime chatfunctie Virtual Classroom te gebruiken en bepaalde interactieve functies op het platform in te schakelen.
Pogo.com en KidsPlayPark.com bieden online Java-games. Veel Pogo-gebruikers, bezorgd over de nieuwste bedreigingen, lijken Java 7 te hebben vervangen door Java 6 (dat Oracle na februari niet langer ondersteunt), volgens berichten op de gebruikersforums. Dat je het weet, dat is een spectaculair slecht idee. Er zijn tal van aanvallen die op verouderde software zijn gericht; het is niet nodig om een hele reeks andere aanvallen te riskeren, alleen om de nieuwste oogst te vermijden.
Wat zijn de alternatieven voor IT?
"Als u bedrijfskritieke applicaties hebt die Java vereisen: probeer een vervanging te vinden, " schreef Johannes Ullrich van SANS Institute vorige week op het internet Storm Center-blog.
Webconferentieplatforms lijken de grootste wegversperringen te zijn. WebEx en Citrix GoToMeeting van Cisco waren voorheen vereist voor Java, maar beide platforms hebben onlangs hun applicaties aangepast om een andere versie te gebruiken als Java niet kan worden gevonden. Citrix zei dat het bezig was Java volledig af te schaffen. Anderen in de ruimte, waaronder MeetingBurner en Brother's OmniJoin, gebruiken echter nog steeds Java. Join.me, ClickMeeting en ReadyTalk zijn gebaseerd op Flash.
Hoewel tools voor externe toegang voornamelijk op Java waren gebaseerd, is er een groeiende lijst van alternatieven die kunnen worden gebruikt voor technische ondersteuning, vertelde Chet Wisniewski, beveiligingsadviseur voor Sophos, aan SecurityWatch . Externe desktopclients zijn ook ingebouwd in Mac OS X en Windows.
"Voor het ondersteunen van mijn moeder en vader gebruik ik de gratis versie van LogMeIn, " zei hij. LogMeIn Free maakt gebruik van ActiveX.
Wat als ik niet kan schakelen?
Voor veel bedrijven, "is er geen alternatief", vertelde Thomas Kristensen, CSO van Secunia, SecurityWatch . Hoewel het mogelijk is om sommige applicaties te vervangen, moeten beheerders over het algemeen andere manieren bedenken om hun werknemers te beschermen. Een manier om het aanvalsoppervlak te verkleinen is om Java alleen in te schakelen voor degenen die het echt nodig hebben en het voor alle anderen uit te schakelen, zei Kristensen.
In plaats van medewerkers te vertellen om te stoppen met het gebruik van Java, moeten organisaties zich richten op "noppenfolie" om gebruikers te beschermen, vertelde Anup Ghosh van Invincea aan SecurityWatch . Gebruikers kunnen op het web surfen via een gevirtualiseerde browser en als ze kwaadaardige sites tegenkomen, per ongeluk een booby-trapped bestand openen of proberen malware te downloaden, blokkeert de virtuele omgeving de aanval op de eigenlijke machine. Zodra de virtuele browser wordt gesloten, wordt de aanval verwijderd. En het beste van alles, een virtuele browser zou u beschermen tegen een breder scala aan bedreigingen, niet alleen op Java gebaseerde.
Gebruikers kunnen een systeem met twee browsers gebruiken. Als u normaal gesproken met Firefox op internet surft, kunt u overwegen de Java-plug-in in Firefox uit te schakelen. Schakel vervolgens Java in een alternatieve browser zoals Chrome, IE9, Safari, enz. In, en blader alleen naar sites die Java nodig hebben en nooit voor algemeen websurfen.
"Het is het beste om Java in één browser in te schakelen en die browser alleen te gebruiken voor websites die zonder deze niet werken, " zei Wisniewski.
Aanvallers veranderen graag hun doelen - Flash, Internet Explorer, Adobe Reader. "Iedereen heeft op een of ander moment een nuldag", schreef Rob VandenBrink van Metafore op het Internet Storm Center.
Java uitschakelen is slechts één manier om u te beschermen tegen webbedreigingen, maar geen universele oplossing. Organisaties kunnen hun blootstelling beperken en beveiligingspraktijken aannemen, zoals webfiltering en gebruikers met beperkte rechten laten werken, om aanvallen te blokkeren, zei hij.
"Stop met wijzen en het doen van algemene aanbevelingen die niet kunnen worden gevolgd", schreef VandenBrink.
Volg haar op Twitter @zdFYRashid voor meer informatie over Fahmida.
