Página principal » cómo » Oracle no puede asegurar el complemento de Java, ¿por qué sigue habilitado de forma predeterminada?

    Oracle no puede asegurar el complemento de Java, ¿por qué sigue habilitado de forma predeterminada?

    Java fue responsable del 91 por ciento de todos los compromisos informáticos en 2013. La mayoría de las personas no solo tienen habilitado el complemento del navegador Java, sino que también utilizan una versión vulnerable y desactualizada. Hola, Oracle: es el momento de deshabilitar ese complemento de forma predeterminada.

    Oracle sabe que la situación es un desastre. Se han dado por vencidos en el recinto de seguridad del complemento de Java, originalmente diseñado para protegerlo de los applets de Java maliciosos. Los applets de Java en la web obtienen acceso completo a su sistema con la configuración predeterminada.

    El complemento de navegador de Java es un completo desastre

    Los defensores de Java tienden a quejarse cuando sitios como el nuestro escriben que Java es extremadamente inseguro. "Eso es sólo el complemento del navegador", dicen, reconociendo lo roto que está. Pero ese inseguro complemento de navegador está habilitado de forma predeterminada en cada instalación de Java que hay. Las estadísticas hablan por sí solas. Incluso aquí en How-To Geek, el 95 por ciento de nuestros visitantes que no son móviles tienen habilitado el complemento Java. Y somos un sitio web que sigue diciéndole a nuestros lectores que desinstalen Java o al menos deshabiliten el complemento.

    En todo el Internet, los estudios siguen demostrando que la mayoría de las computadoras con Java instalado tienen un complemento de navegador Java desactualizado disponible para que los sitios web maliciosos hagan estragos. En 2013, un estudio realizado por Websense Security Labs mostró que el 80 por ciento de las computadoras tenían versiones de Java obsoletas y vulnerables. Incluso los estudios más caritativos dan miedo: tienden a afirmar que más del 50 por ciento de los complementos de Java están desactualizados.

    En 2014, el informe anual de seguridad de Cisco dijo que el 91 por ciento de todos los ataques en 2013 fueron contra Java. Oracle incluso trata de aprovecharse de este problema al agrupar la terrible Barra de herramientas Ask y otros programas basura con actualizaciones de Java: manténgase con clase, Oracle.

    Oracle se dio por vencido en el espacio aislado de los complementos de Java

    El complemento Java ejecuta un programa Java (o “applet de Java”) incrustado en una página web, similar a cómo funciona Adobe Flash. Debido a que Java es un lenguaje complejo que se usa para todo, desde aplicaciones de escritorio hasta software de servidor, el complemento fue diseñado originalmente para ejecutar estos programas Java en un entorno seguro. Esto evitaría que hicieran cosas desagradables a su sistema, incluso si lo intentaran.

    Esa es la teoría, de todos modos. En la práctica, existe un flujo de vulnerabilidades aparentemente interminable que permite a los applets de Java escapar de la caja de arena y correr por encima de su sistema.

    Oracle se da cuenta de que la caja de arena ahora está básicamente rota, por lo que la caja de arena ahora está básicamente muerta. Se han dado por vencidos. De forma predeterminada, Java ya no ejecutará applets "sin firmar". La ejecución de applets no firmados no debería ser un problema si el entorno limitado de seguridad era confiable, por eso generalmente no es un problema ejecutar cualquier contenido de Adobe Flash que encuentre en la web. Incluso si hay vulnerabilidades en Flash, están solucionadas y Adobe no se da por vencido con el sandboxing de Flash..

    Por defecto, Java solo cargará applets firmados. Eso suena bien, como una buena mejora de seguridad. Sin embargo, hay una consecuencia seria aquí. Cuando se firma un applet de Java, se considera "confiable" y no usa el sandbox. Como lo indica el mensaje de advertencia de Java:

    "Esta aplicación se ejecutará con un acceso sin restricciones que puede poner en riesgo su computadora y su información personal".

    Incluso el propio applet de verificación de la versión Java de Oracle, un pequeño y sencillo applet que ejecuta Java para verificar su versión instalada y le dice si necesita actualizar, requiere este acceso completo al sistema. Eso es completamente loco.

    En otras palabras, Java realmente se ha rendido en la caja de arena. De manera predeterminada, no puede ejecutar un applet de Java o ejecutarlo con acceso completo a su sistema. No hay forma de usar el sandbox a menos que modifiques la configuración de seguridad de Java. La caja de arena es tan poco confiable que cada bit de código Java que encuentre en línea necesita acceso completo a su sistema. También puede descargar un programa Java y ejecutarlo en lugar de confiar en el complemento del navegador, que no ofrece la seguridad adicional para la que fue diseñado originalmente..

    Como explicó un desarrollador de Java: "Oracle está matando intencionalmente el entorno de seguridad de Java bajo el pretexto de mejorar la seguridad".

    Los navegadores web lo están deshabilitando por su cuenta

    Afortunadamente, los navegadores web están interviniendo para corregir la inacción de Oracle. Incluso si tiene el complemento del navegador Java instalado y habilitado, Chrome y Firefox no cargarán el contenido de Java de forma predeterminada. Utilizan "click-to-play" para el contenido de Java.

    Internet Explorer todavía carga automáticamente el contenido de Java. Internet Explorer ha mejorado un poco: finalmente comenzó a bloquear los controles ActiveX obsoletos y vulnerables junto con la "Actualización de agosto de Windows 8.1" (también conocida como la Actualización 2 de Windows 8.1) en agosto de 2014. Chrome y Firefox han estado haciendo esto durante mucho más tiempo . Internet Explorer está detrás de otros navegadores aquí - otra vez.

    Cómo deshabilitar el complemento de Java

    Todos los que necesiten Java instalado deben al menos deshabilitar el complemento desde el Panel de control de Java. Con las versiones recientes de Java, puede tocar la tecla de Windows una vez para abrir el menú Inicio o la pantalla de Inicio, escriba "Java" y luego haga clic en el acceso directo "Configurar Java". En la pestaña Seguridad, desmarque la opción "Habilitar contenido Java en el navegador".

    Incluso después de deshabilitar el complemento, Minecraft y cualquier otra aplicación de escritorio que dependa de Java funcionará bien. Esto solo bloqueará los applets de Java incrustados en las páginas web..


    Sí, los applets de Java todavía existen en la naturaleza. Probablemente los encontrará con más frecuencia en sitios internos donde alguna compañía tiene una aplicación antigua escrita como un applet de Java. Pero los applets de Java son una tecnología muerta y están desapareciendo de la web del consumidor. Se suponía que debían competir con Flash, pero perdieron. Incluso si necesita Java, es probable que no necesite el complemento.

    La compañía o el usuario ocasional que necesita el complemento de navegador Java debe ingresar al Panel de control de Java y elegir habilitarlo. El complemento debe considerarse una opción de compatibilidad heredada.