Perché Java è meno rischioso per la sicurezza ora su Windows, Mac e Linux

Perché Java è meno rischioso per la sicurezza ora su Windows, Mac e Linux

Java, un tempo componente vitale del web, è diminuito di popolarità negli ultimi anni. La maggior parte dei browser moderni blocca Java per impostazione predefinita e la maggior parte degli utenti domestici non ha più bisogno di installarlo.





Abbiamo sentito a lungo che Java è il singolo software più insicuro per computer desktop, in particolare Windows. Ma questo è ancora vero? Scaviamo e scopriamo.



I problemi storici con Java

Il motivo principale per cui Java è diventato un bersaglio così popolare per gli attacchi è la sua diffusione. Poiché Java è stato progettato per la massima compatibilità, viene eseguito su una serie di dispositivi. Oltre ai computer, Java supporta lettori Blu-ray, stampanti, sistemi di pagamento del parcheggio, dispositivi per lotterie e molto altro. È l'opposto della sicurezza attraverso l'oscurità: una piattaforma importante fornisce la migliore ricompensa per un attacco.





Naturalmente, siamo interessati a Java sul desktop. E lì, l'offesa peggiore è che Java non si aggiorna automaticamente. A differenza della maggior parte degli altri programmi moderni, Java chiede semplicemente all'utente di installare gli aggiornamenti quando disponibili. Ancora peggio, per impostazione predefinita, Java controlla gli aggiornamenti solo una volta alla settimana o anche una volta al mese. È pericoloso per un'app con così tante vulnerabilità di sicurezza.

come interrompere le telefonate indesiderate su rete fissa

Molte persone vedono il prompt di aggiornamento e lo ignorano, con il risultato che eseguono una versione obsoleta di Java. E con le nuove versioni offerte regolarmente, anche chi installa alcuni aggiornamenti potrebbe sentirsi frustrato e ignorarne altri. In alcuni casi, anche quando gli utenti installano una nuova versione, lasciano installata anche la vecchia copia di Java. Questo amplia la loro vulnerabilità agli attacchi.



Naturalmente, non possiamo dimenticare la lunga saga di Java di includere la terribile Ask Toolbar . Ogni volta che installavi o aggiornavi Java, dovevi ricordarti di deselezionare una casella o avrebbe incluso quel pezzo di spazzatura. Pur non essendo un exploit, questo ha lasciato l'amaro in bocca agli utenti.

Java moderno

Quindi è questo che c'era di sbagliato in Java in passato, ma di recente?



Nell'ottobre 2017, Veracode ha scoperto [Non più disponibile] che l'88% delle applicazioni Java contiene almeno un componente vulnerabile. All'inizio del 2016, Oracle ha annunciato che anche il programma di installazione Java era vulnerabile . Se un utente malintenzionato inserisce un file DLL con un nome specifico nella cartella dei download, si attiva un'infezione quando si esegue il programma di installazione di Java. E in generale, a causa della popolarità di Java, avresti solo bisogno di visitare un sito web compromesso che ha approfittato della tua copia obsoleta di Java per essere infettato.

Sebbene ciò significhi che Java è tutt'altro che sicuro, ci sono anche buone notizie. All'inizio del 2016, Annunciato Oracle che prevede di deprecare il plug-in del browser Java (che è la fonte della maggior parte dei problemi) in JDK 9, che è ora disponibile. Anche i browser moderni si sono lasciati alle spalle Java. Chrome ha interrotto il supporto per Java alla fine del 2015, e Firefox ha smesso di supportarlo all'inizio del 2017. Il browser Edge di Microsoft, incluso in Windows 10, non supporta affatto Java .



Ciò significa che se hai davvero bisogno di usare Java in un browser, dovrai restare con Internet Explorer.

Le più grandi vulnerabilità

Dal momento che Java sta perdendo popolarità, cosa ha preso il suo posto come il software desktop più insicuro?

Gli ultimi dati di Flexera , dal primo trimestre 2017, rivela che il 7,8% dei programmi sul PC medio ha raggiunto la fine della propria vita. Classifica i primi 10 programmi più esposti, in base alla quota di mercato moltiplicata per la percentuale di utenti senza patch:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle per PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud per Windows 6.x

Questa lista potrebbe sorprenderti. Sebbene Java non sia il programma più rischioso, è comunque il secondo. Anche altri programmi che in genere non associamo a rischi per la sicurezza, come VLC e Malwarebytes, occupano un posto. Ciò illustra l'importanza di mantenere aggiornati tutti i software, non solo quelli più diffusi.

Possiamo vedere di più esaminando Rapporto sulla sicurezza del terzo trimestre 2017 di Avast . Elenca i primi 10 programmi più obsoleti sui PC dei suoi utenti:

  1. Java 6, 7 e 8
  2. Adobe Air
  3. Adobe Shockwave
  4. Lettore multimediale VLC
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Tempo veloce
  10. Adobe Flash Player

Quando includi le versioni precedenti, sembra che Java sia ancora in cima al software meno aggiornato. Anche i plugin di Adobe sono grandi colpevoli e vediamo che anche iTunes e VLC hanno fatto questo elenco.

Al contrario, secondo TechRadar , Chrome è il migliore per le app aggiornate. Secondo l'indagine, l'88% degli utenti che eseguono Chrome aveva l'ultima versione installata. Ciò mostra come gli aggiornamenti automatici silenziosi facciano un'enorme differenza, rispetto alle fastidiose richieste di aggiornamento utilizzate dai runtime Java e Adobe.

Non dimenticare anche gli aggiornamenti del sistema operativo

Un altro componente vitale dell'aggiornamento da ricordare sono gli aggiornamenti del sistema operativo. Ricorda che gli utenti che avevano installato aggiornamenti automatici sono stati risparmiati dal terribile attacco ransomware a metà 2017 . Anche se mantieni aggiornato software come Java, il tuo computer è ancora a rischio se non installi gli aggiornamenti di Windows.

Windows 10 semplifica questi aggiornamenti automatici, ma quelli su Windows 7 potrebbero averli disabilitati. E coloro che utilizzano ancora Windows XP quasi quattro anni dopo la fine del ciclo di vita si stanno mettendo a grave rischio.

Quanto è pericoloso Java, davvero?

Nel complesso, possiamo ancora dire che Java è il più grande rischio per la sicurezza dei desktop? Non proprio. Sul lato negativo, le persone continuano a eseguire versioni obsolete di Java anche se non ne hanno davvero bisogno. Questo li apre alle vulnerabilità della sicurezza. Tuttavia, poiché la maggior parte dei browser non supporta più Java, non sono più aperti agli attacchi come una volta.

L'anello debole nella sicurezza del tuo computer deriva dal software più popolare che non tieni aggiornato . Se hai la versione più recente di Java ma non l'hai ancora fatto disinstallato QuickTime per Windows non supportato , è un grosso rischio. Avere una versione obsoleta di Flash, Adobe Reader o iTunes potrebbe aprirti agli attacchi.

Possiamo dedurre dai dati di cui sopra che i programmi senza aggiornamenti automatici sono in genere i meno sicuri. Ad esempio, iTunes chiede costantemente agli utenti di aggiornare, il che è fastidioso. Questo porta le persone a ignorare gli aggiornamenti e a lasciare installata una versione non sicura.

Che dire di Mac e Linux?

Ci siamo concentrati su Java per Windows sopra, ma vale la pena menzionare rapidamente come ciò influisca anche sugli utenti Mac e Linux.

Sorprendentemente, mentre Apple non consente l'esecuzione predefinita dei plug-in in Safari, il browser supporta ancora i vecchi plug-in come Java e Silverlight. Anche se dovresti disinstallare Java sul tuo Mac a meno che tu non ne abbia bisogno per un motivo specifico, Java non ha causato tanti problemi agli utenti Mac come su Windows. Ultimamente, la maggior parte delle falle di sicurezza in macOS sono dovute a sviste della stessa Apple.

Anche Linux non ha riscontrato alcuna vulnerabilità Java univoca. Se hai bisogno di un browser che supporti Java su Linux, puoi provare il Versione ESR (Extended Support Release) di Firefox . Firefox fornisce questa versione per ambienti aziendali; fornisce gli ultimi aggiornamenti di sicurezza ma attende più a lungo per implementare gli aggiornamenti delle funzionalità. La versione attuale, 52, supporta Java e altri plug-in legacy saranno disponibili fino al secondo trimestre del 2018.

Un futuro senza plugin

La buona notizia è che non hai più bisogno della maggior parte di questi plugin potenzialmente pericolosi e fastidiosi installati. Pochissimi siti Web utilizzano Java e il programma principale per cui le persone hanno mantenuto Java installato --- Minecraft--- include ora una versione in bundle sicura di Java . Neanche altri plugin sono necessari. Microsoft ha deprecato Silverlight anni fa e sarebbe difficile trovare un sito con contenuti Shockwave.

Flash è l'unica eccezione. La maggior parte dei browser lo supporta ancora a causa della sua popolarità, ma Adobe lo ucciderà nel 2020 . Fino ad allora, assicurati di aggiornare Flash sul tuo PC. Chrome lo fa automaticamente, quindi potresti non averlo più installato (il che è fantastico).

Quindi, in breve: Java è ancora insicuro ma presenta meno rischi grazie ai browser che lo disabilitano. Dovresti disinstallare i programmi che non ti servono (compresi i vecchi plugin), mantenere aggiornato il software sul tuo computer e applicare gli aggiornamenti del sistema operativo. Se lo fai, starai bene.

Credito immagine: avemario/ Depositphotos

Condividere Condividere Tweet E-mail Come cambiare l'aspetto del desktop di Windows 10

Vuoi sapere come migliorare l'aspetto di Windows 10? Usa queste semplici personalizzazioni per personalizzare Windows 10.

Leggi Avanti Argomenti correlati
  • Sicurezza
  • Giava
  • Sicurezza del computer
Circa l'autore Ben Stegner(1735 articoli pubblicati)

Ben è un vicedirettore e l'onboarding manager di MakeUseOf. Ha lasciato il suo lavoro IT per scrivere a tempo pieno nel 2016 e non si è mai guardato indietro. Si occupa di tutorial tecnici, consigli sui videogiochi e altro ancora come scrittore professionista da oltre sette anni.

Altro da Ben Stegner

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per consigli tecnici, recensioni, ebook gratuiti e offerte esclusive!

Clicca qui per iscriverti