Java fue responsable del 91 por ciento de todos los compromisos de la computadora en 2013. La mayoría de las personas no solo tiene el complemento del navegador Java habilitado: están utilizando una versión vulnerable y desactualizada. Hola, Oracle: es hora de desactivar ese complemento de manera predeterminada.

Oracle sabe que la situación es un desastre. Han renunciado al sandbox de seguridad del complemento de Java, diseñado originalmente para protegerlo de los applets maliciosos de Java. Los applets de Java en la web obtienen acceso completo a su sistema con la configuración predeterminada.

El complemento de navegador Java es un desastre completo

Los defensores de Java tienden a quejarse cada vez que sitios como el nuestro escriben que Java es extremadamente inseguro. "Eso es solo el complemento del navegador", dicen, reconociendo lo roto que está. Pero ese inseguro complemento de navegador está habilitado de forma predeterminada en cada instalación de Java. Las estadísticas hablan por sí solas. Incluso aquí en How-To Geek, el 95 por ciento de nuestros visitantes que no usan dispositivos móviles tienen habilitado el complemento Java. Y somos un sitio web que continuamente les dice a nuestros lectores que desinstalen Java o al menos deshabiliten el complemento.

En todo el mundo, los estudios siguen mostrando que la mayoría de las computadoras con Java instalado tienen un navegador Java desactualizado plug-in disponible para sitios web maliciosos para causar estragos. En 2013, un estudio de Websense Security Labs mostró que el 80 por ciento de las computadoras tenían versiones desactualizadas y vulnerables de Java. Incluso los estudios más caritativos dan miedo: tienden a decir que más del 50 por ciento de los complementos de Java están desactualizados.

En 2014, el informe de seguridad anual de Cisco decía que el 91 por ciento de todos los ataques en 2013 eran contra Java. Oracle incluso trata de sacar provecho de este problema al agrupar la terrible Ask Toolbar y otros junkware con las actualizaciones de Java: mantener la clase, Oracle.

Oracle Gave Up en el plugin de Java Plug-in

El plugin de Java ejecuta un Programa Java - o "applet de Java" - incrustado en una página web, similar a cómo funciona Adobe Flash. Debido a que Java es un lenguaje complejo que se usa para todo, desde aplicaciones de escritorio hasta software de servidor, el complemento fue originalmente diseñado para ejecutar estos programas Java en un entorno seguro. Esto les impediría hacer cosas desagradables en su sistema, incluso si lo intentaran.

Esa es la teoría, de todos modos. En la práctica, hay un flujo aparentemente interminable de vulnerabilidades que permiten que los applets de Java escapen de la zona de pruebas y pasen por encima de su sistema.

Oracle se da cuenta de que la zona de pruebas está ahora básicamente rota, por lo que la zona de pruebas está prácticamente muerta. Han renunciado a eso. Por defecto, Java ya no ejecutará applets "sin firmar". Ejecutar applets sin firmar no debería ser un problema si el entorno limitado de seguridad es confiable, por eso generalmente no es un problema ejecutar cualquier contenido de Adobe Flash que encuentre en la web. Incluso si hay vulnerabilidades en Flash, están corregidas y Adobe no se da por vencido en el recinto de seguridad de Flash.

Por defecto, Java solo cargará applets firmados. Eso suena bien, como una buena mejora de seguridad. Sin embargo, hay una grave consecuencia aquí. Cuando se firma un applet de Java, se considera "de confianza" y no usa el sandbox. Como dice el mensaje de advertencia de Java:

"Esta aplicación se ejecutará con acceso sin restricciones que puede poner su computadora y su información personal en riesgo".

Incluso el propio applet de comprobación de la versión Java de Oracle: un pequeño applet que ejecuta Java para verificar su versión instalada y le informa si necesita actualizar; requiere este acceso completo al sistema. Eso es completamente loco.

En otras palabras, Java realmente se ha rendido en la caja de arena. De forma predeterminada, no puede ejecutar un applet de Java o ejecutarlo con acceso completo a su sistema. No hay forma de usar el sandbox a menos que modifiques la configuración de seguridad de Java. La zona de pruebas es tan poco confiable que todo el código de Java que encuentres en línea necesita acceso completo a tu sistema. También podría descargar un programa Java y ejecutarlo en lugar de confiar en el complemento del navegador, que no ofrece la seguridad adicional para la que originalmente fue diseñado.

Como explicó un desarrollador de Java: "Oracle está matando intencionalmente el entorno de seguridad de Java con el pretexto de mejorar la seguridad".

Los navegadores web lo están deshabilitando

Afortunadamente, los navegadores web están interviniendo para corregir la inacción de Oracle. Incluso si tiene el complemento del navegador Java instalado y habilitado, Chrome y Firefox no cargarán contenido Java de manera predeterminada. Utilizan "click-to-play" para contenido de Java.

Internet Explorer todavía carga automáticamente contenido de Java. Internet Explorer ha mejorado algo: finalmente comenzó a bloquear controles ActiveX vulnerables y desactualizados junto con la "Actualización de agosto de Windows 8.1" (también conocida como Windows 8.1 Update 2) en agosto de 2014. Chrome y Firefox han estado haciendo esto por mucho más tiempo. . Internet Explorer está detrás de otros navegadores aquí. De nuevo.

Cómo deshabilitar el complemento de Java

Todo aquel que necesite instalar Java debería al menos desactivar el complemento desde el Panel de control de java. Con las versiones recientes de Java, puede presionar la tecla de Windows una vez para abrir el menú Inicio o la pantalla de Inicio, escriba "Java" y luego haga clic en el acceso directo "Configurar Java". En la pestaña Seguridad, desmarque la opción "Habilitar contenido Java en el navegador".

Incluso después de desactivar el complemento, Minecraft y cualquier otra aplicación de escritorio que dependa de Java se ejecutarán correctamente. Esto solo bloqueará los applets de Java incrustados en las páginas web.

Sí, los applets de Java todavía existen en la naturaleza. Probablemente los encuentres con mayor frecuencia en sitios internos donde alguna empresa tiene una aplicación antigua escrita como applet de Java. Pero los applets de Java son una tecnología muerta y están desapareciendo de la web del consumidor. Se suponía que competirían con Flash, pero perdieron. Incluso si necesita Java, probablemente no necesite el complemento.

La empresa o el usuario ocasional que necesita el complemento del navegador Java debería tener que acceder al Panel de control de Java y elegir habilitarlo. El complemento debe considerarse una opción de compatibilidad heredada.

Review - Altavoz Bluetooth inalámbrico portátil iClever 4.0

¿Está buscando un altavoz Bluetooth de calidad que suene bien, que admita la última tecnología y no sea súper caro? Bueno, el equipo de iClever me envió varios de sus gadgets para probar y el que más me impresionó es el altavoz inalámbrico Bluetooth.Cabe señalar que iClever me ha otorgado una unidad de revisión, pero esta no es una publicación patrocinada ni me han pagado para escribirla. Voy a enum

(How-to)

Ver rápidamente el historial de búsqueda en todos los navegadores de Windows

Cuando habla del historial de búsqueda, la mayoría de las personas busca una manera de borrar su historial de búsqueda o eliminar su historial de búsqueda, ¿no? Cualquiera que sea la razón para ocultar su historial de búsqueda, una persona astuta que lea esta publicación podrá VER el historial de búsqueda reciente para todos los navegadores de cualquier computadora usando un programa simple y gratuito.Básicamen

(How-to)