Se zprávou, že některé počítače Mac zaměstnanců Apple, Facebooku a Twitteru byly napadeny hackery, a následnými softwarovými záplatami společností Apple a Oracle, je čas znovu se zamyslet nad otázkou, zda lze Javu používat bezpečně.
Po útoku malwaru Flashback, ke kterému došlo v létě 2012, jsem diskutoval o rizicích a nabídl několik rad ohledně nejbezpečnějšího způsobu použití Javy. Ale kvůli změnám ve způsobu, jakým Java funguje na počítačích Mac a nedávnému nárůstu bezpečnostních hrozeb založených na Javě, pozměňuji svou radu: Měli byste udělat vše, co můžete, abyste Javu ze svého Macu odstranili, nebo pokud to není možné, izolovat ji v maximální možné míře.
Nedělám toto doporučení na lehkou váhu. Odstranění Javy bude pro některé lidi problematické, zejména pro ty, kteří v práci používají počítače Mac; a izolovat to není jednoduché. Ale nemohu přeceňovat riziko: Téměř všechny nedávné útoky malwaru na Mac spoléhají na zneužití Javy nebo Flash ve vašem webovém prohlížeči. (Také mám pár rad izolovat Flash .) Pokud si plánujete ponechat Javu, ujistěte se, že ji aktualizujete co nejdříve.
Proč nyní doporučuji odstranit Javu
Java je více než plugin prohlížeče. Jedná se o kompletní běhové prostředí aplikace. To znamená, že Java aplikace jsou navrženy tak, aby běžely uvnitř Java Virtual Machine nainstalovaného na vašem Macu. Teoreticky může vývojář napsat program Java, který se spustí ve virtuálním stroji, a ten poběží bez úprav na jakékoli platformě – Mac, Windows, Linux nebo cokoli, na čem běží platný JVM. (Prakticky řečeno, dostat něco, co bude fungovat na různých platformách, je zřídkakdy snadné.) JVM se stará o správu paměti a cokoli jiného, co aplikace potřebuje, a spouští to uvnitř sandboxu, který izoluje aplikaci Java od vašeho operačního systému.
Problém nastává, když v této karanténě (nebo v jiných aspektech JVM) existuje chyba a někdo napíše škodlivý kód, který chyby využije k prolomení a získání dalšího přístupu k vašemu počítači. Prostředí jako Java a Flash činí tak problematickými tím, že když je ve vašem prohlížeči povoleno, spouštějí takové programy, aniž by vás k tomu požádaly o svolení. Pouze sandbox stojí mezi vámi a libovolným náhodným útočníkem s Java programem na internetu; a když tato karanténa přestane být nepropustná, může pouhé procházení webové stránky umožnit padouchům převzít plnou kontrolu nad vaším počítačem.
To je přesně to, co se stalo při útoku na zaměstnance společnosti Apple a možná také při útocích na Twitter a Facebook. Útočníci napadli stránku, o které je známo, že ji používají mobilní vývojáři, a poté použili dříve neznámou (neboli zero-day) zranitelnost Java ke zneužití počítačů prostřednictvím jejich prohlížečů. Tomu se říká útok na napajedlo, protože padouši zamířili na místo, které kýžené oběti pravidelně a dobrovolně navštěvovaly. Vzhledem k tomu, že zneužití bylo neznámé, antivirový software by jej nemusel nutně rozpoznat a deaktivovat.
Když jsem psal o útocích Flashback na konci srpna, řekl jsem, že ačkoli dnes pravděpodobně nejste ohroženi, je jasné, že Java stále představuje jeden z největších a nejtrvalejších bezpečnostních problémů, kterým čelí uživatelé všech operačních systémů.
Můj závěr se změnil: Nyní jste v ohrožení. Jak se tedy chránit?
Jak odstranit Javu
Nejlepší možností je Javu z vašeho Macu úplně odstranit; pak se nebudete muset obávat jeho bezpečnostních slabin. Nemít Javu ve vašem systému může narušit některé webové stránky, ale já už nějakou dobu nepovoluji spouštění Javy v mém prohlížeči a narazil jsem na velmi málo problémů. Když to udělám, viníky jsou nejčastěji webový software pro schůzky a některé podnikové aplikace. Je to proto, že deaktivace Java také deaktivuje některé další softwarové programy, jako je například populární zálohovací nástroj CrashPlan. Pokud se dostanete do takové situace, zvažte provedení níže uvedených kroků pro izolaci Javy; pro ostatní uživatele však může být život bez Javy nejuspokojivějším kurzem. Tímto způsobem se vyhnete riziku, že bude Java někdy v budoucnu znovu aktivována.
Přesný postup při odstraňování Javy závisí na verzi OS X, kterou používáte, a na verzi Javy, kterou používáte. Ať už jsou tyto údaje jakékoli, odstranění Javy je poměrně snadné.
Zakázání Javy v Safari.
kolik stojí macbook z růžového zlata
Chcete-li zjistit, zda máte nainstalovanou Javu, spusťte Terminál a spusťte následující příkaz:
java -version
Pokud vidíte |_+_| nebo |_+_| v odpovědi přejděte do adresáře /System/Library/Java/JavaVirtualMachines/ a odstraňte jej. Případně použijte příkazový řádek:
1.6
(Jako vždy napište velmi opatrně při používání |_+_| příkaz.)
Pokud vás Mac náhle požádá o instalaci Javy, buď Java ve vašem systému není, nebo jste nainstalovali nevývojářskou verzi Javy 7 (běžnější situace). V takovém případě odeberte Java 7 pomocí těchto příkazových řádků:
1.7Pokud narazíte na problémy, vyberte pevný disk Macu ve Finderu, vyhledejte tyto dva soubory a odešlete je do koše.
Jak izolovat Javu
Izolovat Javu znamená ponechat ji na vašem Macu, ale odstranit ji z prohlížeče, kromě případů, kdy ji chcete spustit. Apple to nyní provádí ve výchozím nastavení pro všechny počítače Mac (10.6 a novější) a přibližně po měsíci je znovu izoluje, i když jste jej znovu zapnuli. Izolace Javy je nyní o něco složitější, když Apple z Lion a Mountain Lion odstranil nástroj Java preferences.
Pokud používáte Java 6 (verze dodávaná společností Apple), musíte ji omezit ve všech svých prohlížečích. V prohlížeči Google Chrome zadejte |_+_| v adresním řádku a kliknutím na odkaz zakažte Javu. V Safari přejděte na Safari > Předvolby a zrušte zaškrtnutí Povolit Javu v podokně Zabezpečení. Ve Firefoxu přejděte na Nástroje > Přidat Ons > Pluginy a zrušte zaškrtnutí Java Plug-In .
Zakázání Javy v Google Chrome.
Pokud používáte Java 7, můžete ji zakázat v celém systému: Přejít na Předvolby > Jáva > Bezpečnostní a zrušte zaškrtnutí Povolte obsah Java v prohlížeči .
Navrhuji, abyste izolovali Javu ve všech svých prohlížečích a poté vybrali ten, který nepoužíváte jako svůj hlavní prohlížeč, a podle potřeby tam Javu dočasně aktivovali. Pokud tak učiníte, snížíte pravděpodobnost, že jej po použití zapomenete vypnout, a zůstanete zranitelní při každodenním prohlížení.
Tato rada se může zdát extrémní. Ale když jsou vlastní vývojáři Apple napadeni, je čas se chránit.
Aktualizováno 21. 2. 2013 11:05 PT pro opravu formátování příkazového řádku.
