Videó: DEBUG ЧТО ЭТО И КАК ДЕБАЖИТЬ НА РЕАЛЬНЫХ ПРИМЕРАХ в JAVA | АВТОМАТИЗАЦИЯ НА ПАЛЬЦАХ (November 2024)
A Java támadás alatt áll.
Nemcsak a fekete kalapokból, amelyek letöltést készítenek letöltésre, rosszindulatú mellékletekre és más támadásokra, amelyek kihasználják a technológia sebezhetőségét, hanem a fehér kalapokból is, akik szerintük a felhasználóknak egyáltalán nem szabad azt használni. Még azután, hogy az Oracle javította a nulla napos biztonsági rés legfrissebb tételét, a Belügyminisztérium Számítógépes vészhelyzeti készséggel foglalkozó csapata (US-CERT) javasolta a felhasználók számára a Java kikapcsolását.
Hasonlóan az Adobe Flash-hez, a Java is népszerű célpont, mert rendkívül nagy telepített bázissal rendelkezik. Ha valóban nem használ Java-t igénylő webhelyeket, akkor menjen tovább, és dobja el. Még egy szép utasításkészlet is van a Java letiltásának érdekében böngészőjében.
De én használom a Java-t!
Aztán vannak olyanok, akik valójában rendszeresen használják a Java-t.
"Kétlem, hogy bárki, aki figyelmet fordít a biztonsági tanácsokra, a Java, IE 6/7/8, et al., Futtatja azért, mert akarják - ezeket a dolgokat azért futtatjuk, mert meg kell, és a döntés fekszik a kezünkben." Jack Daniel biztonsági guru írta a Uncommon Sense Security témában.
Amikor körülnéztem, hogy mely alkalmazások használják a Java-t, rájöttem, hogy sok népszerű asztali alkalmazás illeszkedik a számlához, beleértve az Office alternatívákat, a ThinkFree Office, a LibreOffice és az OpenOffice, valamint a népszerű játékokat, mint például a Minecraft. Számos Adobe-alkalmazáshoz Java is szükséges bizonyos komponensek futtatásához. Nem kell aggódnia, mivel ezek önálló Java alkalmazások, és nem azok, amelyek a webböngészőben futnak.. Ha követte lépésről lépésre az utasításokat, akkor a Java-t csak a böngészőben tiltotta le. A helyi alkalmazások továbbra is jól működnek.
De kiderül, hogy rengeteg játékhely és vállalkozás működik továbbra is a Java-val. Egy speciális banki szolgáltatás, például a Citi Private Bank, amely egyesíti a befektetést és a hagyományos banki szolgáltatást egy számlára, egy példa. Az olyan felhőalapú szolgáltatások, mint például a Box.net, a Java-os tömeges fájlfeltöltő eszközök. A Citrix és a Cisco egyaránt ügyfelek nélküli SSL VPN-termékeket kínálnak, amelyek lehetővé teszik a felhasználók számára egy biztonságos, távoli hozzáférésű VPN-alagút létrehozását egy Java-kompatibilis webböngésző segítségével.
Tanuló vagy? Valószínű, hogy iskolája a Blackboard-ot használja, amelyhez a fájlok és mellékletek feltöltéséhez, a valós idejű csevegési szolgáltatáshoz a Virtuális osztályterem használatához és a platform bizonyos interaktív funkcióinak engedélyezéséhez a Java plugin legfrissebb verziója szükséges.
A Pogo.com és a KidsPlayPark.com online Java játékokat kínálnak. Számos Pogo-felhasználó, a legújabb fenyegetések miatt aggódva, úgy tűnik, hogy a Java 7-et Java 6-ra cseréli (amelyet az Oracle február után már nem fog támogatni), a felhasználói fórumokon szereplő üzenetek szerint. Csak hogy tudd, ez egy látványosan rossz ötlet. Rengeteg olyan támadás van, amelyek elavult szoftvereket céloznak meg; a legfrissebb termés elkerülése érdekében nem kell különféle támadások sorozatát kockáztatni.
Melyek az informatikai alternatívák?
"Ha olyan üzleti szempontból kritikus alkalmazásokat igényel, amelyek Java-t igényelnek: próbálj meg helyet találni" - írta a SANS Intézet Johannes Ullrich a múlt héten az Internet Storm Center blogjában.
A webkonferencia-platformok tűnnek a legnagyobb akadályoknak. A Cisco WebEx és Citrix GoToMeeting korábban Java-t igényelt, de mindkettő nemrégiben módosította alkalmazásokat, hogy eltérő verziót használjon, ha a Java nem található. A Citrix szerint a Java teljes megszüntetése folyamatban van. Az űrben mások, köztük a MeetingBurner és a Brother's OmniJoin, továbbra is Java-t használnak. A Join.me, a ClickMeeting és a ReadyTalk Flash alapú.
Annak ellenére, hogy a távoli elérési eszközök korábban túlnyomórészt Java-alapúak voltak, egyre növekszik azoknak a lehetőségeknek a listája, amelyek felhasználhatók a technikai támogatásra - mondta Chet Wisniewski, a Sophos biztonsági tanácsadója a SecurityWatch-nek . A távoli asztali klienseket beépítették a Mac OS X és a Windows rendszerbe is.
"Anyám és apám támogatásához a LogMeIn ingyenes verzióját használom" - mondta. A LogMeIn Free az ActiveX-t használja.
Mi van, ha nem tudok váltani?
Sok vállalkozás számára "nincs alternatíva" - mondta Thomas Kristensen, a Secunia CSO. Noha lehet, hogy egyes alkalmazások lecserélhetők, általában az adminisztrátoroknak más módszereket kell kidolgozniuk alkalmazottaik védelmére. A támadás felületének csökkentésének egyik módja a Java engedélyezése csak azok számára, akiknek valóban szükségük van rá, és mindenki számára letiltása - mondta Kristensen.
Ahelyett, hogy utasítanák az alkalmazottakat, hogy hagyják abba a Java használatát, a szervezeteknek a „buborék burkolásra” kell összpontosítaniuk a felhasználók védelme érdekében - mondta az Invincea Anup Ghosh a SecurityWatch-nek . A felhasználók szörfözhetnek az interneten egy virtualizált böngészőn keresztül, és ha rosszindulatú webhelyekkel találkoznak, véletlenül megnyithatnak egy csapdába esett fájlt, vagy megpróbálják letölteni a rosszindulatú programokat, a virtuális környezet megakadályozná, hogy a támadás a tényleges gépen futjon. A második virtuális böngésző bezáródik, a támadást eltávolítják. És ami a legjobb, a virtuális böngésző megvéd téged a fenyegetések szélesebb spektrumától, nem csak a Java-alapúktól.
A felhasználók két böngészőt használhatnak. Ha általában az Firefox segítségével böngészi az internetet, akkor fontolja meg a Java plugin letiltását a Firefoxban. Ezután engedélyezze a Java használatát egy alternatív böngészőben, például a Chrome, IE9, Safari stb., És keresse meg csak azokat a webhelyeket, amelyekre Java szükséges, és soha az általános internetes szörfözéshez.
"A legjobb, ha a Java-t egyetlen böngészőben engedélyezi, és csak azt a weboldalt használja, amely nélküle nem működik" - mondta Wisniewski.
A támadók szeretnek változtatni a célokat - Flash, Internet Explorer, Adobe Reader. "Mindenkinek van egy vagy több nulla napja egy vagy több" - írta a Metafore Rob VandenBrink az Internet Storm Center-ben.
A Java letiltása csak egy módszer a webes fenyegetések elleni védekezésre, de nem univerzális megoldás. A szervezetek korlátozhatják expozíciójukat és elfogadhatnak olyan biztonsági gyakorlatokat, mint például a webszűrés és a felhasználók korlátozott jogosultságokkal történő futtatása a támadások blokkolására - mondta.
"Állítsa le az ujját, és ne kövesse be nem tartható takaró ajánlásokat" - írta VandenBrink.
Ha Fahmidától szeretne többet megtudni, kövesse őt a Twitteren @zdFYRashid.
