在过去的一年左右的时间里,Java似乎产生了无休止的安全漏洞,部分原因是软件环境对最终用户不可见,部分是由于它允许的系统访问。
仅在1月,广泛的浏览器攻击工具包就攻击了两个不同的Java漏洞。这些Java漏洞中的至少一个导致了最近披露的Apple, Facebook 和Microsoft的网络渗透,并且还可能涉及25万个Twitter帐户的泄露。
由于存在这些危险,因此许多安全专家建议用户禁用Java浏览器插件,甚至采取更激烈的步骤完全卸载基础Java运行时环境(JRE)。
这些建议对于许多人来说可能是有意义的,但对于所有在其计算机上安装了Java的用户而言,它们并不是一揽子解决方案。
含java的世界
问题在于,Java仍然以一种或另一种形式用于人们想要和需要做的许多事情。它可能是运行您从未考虑过的程序的基本要素。
例如,如果您是数百万喜欢玩Minecraft或RuneScape的人之一,则需要在计算机上安装Java。如果您玩《魔兽世界》,则摆脱Java可能会使您无法使用游戏的启动器。
如果您是创意专家,那么Adobe的Creative Suite(包括Photoshop,Illustrator和Premiere等应用程序)将依靠Java在应用程序之间交换信息。如果您是OpenOffice和LibreOffice等免费办公软件的用户,则两个程序都使用Java。
这些应用程序通常都无法访问网站,因此在计算机上安装Java并在Web浏览器中禁用它的同时,也可以使用这些软件,同时最大程度地减少对恶意软件的访问。
不幸的是,对于许多绝对要求Java插件在浏览器中处于活动状态的面向Web的业务应用程序是不可能的,例如Citrix的GoToMeeting或Cisco的WebEx之类的Web会议软件。
让我们小心点
对于某些人来说,在浏览器中关闭Java根本不是现实的选择。那么,在Web上使用Java时,您可以采取哪些措施来减轻风险?
首先是遵循信息安全最佳实践,这将使恶意代码更难感染和破坏您的系统。
“使用防病毒,防恶意软件和防火墙,”位于波士顿的Rapid7安全工程高级经理Ross Barrett说。“使用没有管理员权限的用户帐户浏览。”
您还可以采取一些基本的Java安全预防措施,以确保限制风险。
“Java的用户应保持最新补丁和软件版本。当更新出来,立刻使用它。这将大大降低你的曝光面,并确保您有最新的内置保护,”巴雷特说。
他补充说:“打开[Java的]安全设置。” “这意味着您在浏览时会收到频繁的警告消息和警报-不要忽略它们。”
两次乐趣
最终用户可能想尝试“双重浏览器”策略。
英国反病毒公司Sophos的高级安全经理Richard Wang说:“如果您确实依赖需要Java的网站,则可以考虑安装第二个浏览器并仅在该浏览器中打开Java。将其用于基于Java的产品中仅限网站,并使用禁用Java的主浏览器进行其他操作。”
对于企业,在家工作的人或需要保护大量敏感数据的任何人,此策略的增强版本可以防止Java安全问题成为系统范围的问题。
“您应该列出所有需要使用Java的常规工具。然后,在虚拟机或其他隔离的环境中运行这些工具。”旧金山nCircle的IT安全和风险策略主管Tim Erlin说道,他指的是实质上“存在于”其他计算机内部的基于软件的计算机模拟器。
“如果您发现许多日常任务都需要Java,则可能需要考虑评估不需要Java的替代工具。”
这些策略是否可以使您免受Web上困扰Java的所有安全性问题的灵丹妙药?不可以,但是在IT安全性方面没有保证。您只能减轻风险并采取合理的预防措施。
毕竟,Java不是唯一可以被利用来安装恶意代码的浏览器插件。如果您卸载或禁用了所有可能的风险,则Web将失去其大部分功能。
实际的安全性是在不让一切都处于锁定状态的情况下,尽一切可能并获得最佳的保护。
