Java fue responsable del 91 por ciento de todos los compromisos de la computadora en 2013. La mayoría de las personas no solo tiene el complemento del navegador Java habilitado: están utilizando una versión vulnerable y desactualizada. Hola, Oracle: es hora de desactivar ese complemento de manera predeterminada.

Oracle sabe que la situación es un desastre. Han renunciado al sandbox de seguridad del complemento de Java, diseñado originalmente para protegerlo de los applets maliciosos de Java. Los applets de Java en la web obtienen acceso completo a su sistema con la configuración predeterminada.

El complemento de navegador Java es un desastre completo

Los defensores de Java tienden a quejarse cada vez que sitios como el nuestro escriben que Java es extremadamente inseguro. "Eso es solo el complemento del navegador", dicen, reconociendo lo roto que está. Pero ese inseguro complemento de navegador está habilitado de forma predeterminada en cada instalación de Java. Las estadísticas hablan por sí solas. Incluso aquí en How-To Geek, el 95 por ciento de nuestros visitantes que no usan dispositivos móviles tienen habilitado el complemento Java. Y somos un sitio web que continuamente les dice a nuestros lectores que desinstalen Java o al menos deshabiliten el complemento.

En todo el mundo, los estudios siguen mostrando que la mayoría de las computadoras con Java instalado tienen un navegador Java desactualizado plug-in disponible para sitios web maliciosos para causar estragos. En 2013, un estudio de Websense Security Labs mostró que el 80 por ciento de las computadoras tenían versiones desactualizadas y vulnerables de Java. Incluso los estudios más caritativos dan miedo: tienden a decir que más del 50 por ciento de los complementos de Java están desactualizados.

En 2014, el informe de seguridad anual de Cisco decía que el 91 por ciento de todos los ataques en 2013 eran contra Java. Oracle incluso trata de sacar provecho de este problema al agrupar la terrible Ask Toolbar y otros junkware con las actualizaciones de Java: mantener la clase, Oracle.

Oracle Gave Up en el plugin de Java Plug-in

El plugin de Java ejecuta un Programa Java - o "applet de Java" - incrustado en una página web, similar a cómo funciona Adobe Flash. Debido a que Java es un lenguaje complejo que se usa para todo, desde aplicaciones de escritorio hasta software de servidor, el complemento fue originalmente diseñado para ejecutar estos programas Java en un entorno seguro. Esto les impediría hacer cosas desagradables en su sistema, incluso si lo intentaran.

Esa es la teoría, de todos modos. En la práctica, hay un flujo aparentemente interminable de vulnerabilidades que permiten que los applets de Java escapen de la zona de pruebas y pasen por encima de su sistema.

Oracle se da cuenta de que la zona de pruebas está ahora básicamente rota, por lo que la zona de pruebas está prácticamente muerta. Han renunciado a eso. Por defecto, Java ya no ejecutará applets "sin firmar". Ejecutar applets sin firmar no debería ser un problema si el entorno limitado de seguridad es confiable, por eso generalmente no es un problema ejecutar cualquier contenido de Adobe Flash que encuentre en la web. Incluso si hay vulnerabilidades en Flash, están corregidas y Adobe no se da por vencido en el recinto de seguridad de Flash.

Por defecto, Java solo cargará applets firmados. Eso suena bien, como una buena mejora de seguridad. Sin embargo, hay una grave consecuencia aquí. Cuando se firma un applet de Java, se considera "de confianza" y no usa el sandbox. Como dice el mensaje de advertencia de Java:

"Esta aplicación se ejecutará con acceso sin restricciones que puede poner su computadora y su información personal en riesgo".

Incluso el propio applet de comprobación de la versión Java de Oracle: un pequeño applet que ejecuta Java para verificar su versión instalada y le informa si necesita actualizar; requiere este acceso completo al sistema. Eso es completamente loco.

En otras palabras, Java realmente se ha rendido en la caja de arena. De forma predeterminada, no puede ejecutar un applet de Java o ejecutarlo con acceso completo a su sistema. No hay forma de usar el sandbox a menos que modifiques la configuración de seguridad de Java. La zona de pruebas es tan poco confiable que todo el código de Java que encuentres en línea necesita acceso completo a tu sistema. También podría descargar un programa Java y ejecutarlo en lugar de confiar en el complemento del navegador, que no ofrece la seguridad adicional para la que originalmente fue diseñado.

Como explicó un desarrollador de Java: "Oracle está matando intencionalmente el entorno de seguridad de Java con el pretexto de mejorar la seguridad".

Los navegadores web lo están deshabilitando

Afortunadamente, los navegadores web están interviniendo para corregir la inacción de Oracle. Incluso si tiene el complemento del navegador Java instalado y habilitado, Chrome y Firefox no cargarán contenido Java de manera predeterminada. Utilizan "click-to-play" para contenido de Java.

Internet Explorer todavía carga automáticamente contenido de Java. Internet Explorer ha mejorado algo: finalmente comenzó a bloquear controles ActiveX vulnerables y desactualizados junto con la "Actualización de agosto de Windows 8.1" (también conocida como Windows 8.1 Update 2) en agosto de 2014. Chrome y Firefox han estado haciendo esto por mucho más tiempo. . Internet Explorer está detrás de otros navegadores aquí. De nuevo.

Cómo deshabilitar el complemento de Java

Todo aquel que necesite instalar Java debería al menos desactivar el complemento desde el Panel de control de java. Con las versiones recientes de Java, puede presionar la tecla de Windows una vez para abrir el menú Inicio o la pantalla de Inicio, escriba "Java" y luego haga clic en el acceso directo "Configurar Java". En la pestaña Seguridad, desmarque la opción "Habilitar contenido Java en el navegador".

Incluso después de desactivar el complemento, Minecraft y cualquier otra aplicación de escritorio que dependa de Java se ejecutarán correctamente. Esto solo bloqueará los applets de Java incrustados en las páginas web.

Sí, los applets de Java todavía existen en la naturaleza. Probablemente los encuentres con mayor frecuencia en sitios internos donde alguna empresa tiene una aplicación antigua escrita como applet de Java. Pero los applets de Java son una tecnología muerta y están desapareciendo de la web del consumidor. Se suponía que competirían con Flash, pero perdieron. Incluso si necesita Java, probablemente no necesite el complemento.

La empresa o el usuario ocasional que necesita el complemento del navegador Java debería tener que acceder al Panel de control de Java y elegir habilitarlo. El complemento debe considerarse una opción de compatibilidad heredada.

¿Por qué algunas conexiones de descarga dominan a otras?

Si a menudo descarga varios elementos al mismo tiempo, probablemente haya notado que una conexión de descarga tiende a dominar a las otras hasta que se termina . ¿Porqué es eso? La publicación de preguntas y respuestas SuperUser de hoy tiene la respuesta a la pregunta de un lector curioso. La sesión de preguntas y respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios de preguntas y respuestas impulsada por la comunidad.

(how-to)

Cómo buscar y eliminar software malicioso con Windows Defender sin conexión

Microsoft siempre ha ofrecido una herramienta "Windows Defender fuera de línea" que puede usar para realizar análisis de malware desde fuera de Windows. Con la actualización de aniversario de Windows 10, esta herramienta se incluye con Windows y es aún más fácil de ejecutar. Aquí le mostramos cómo usarlo, sin importar en qué versión de Windows se encuentre.

(how-to)