This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Java 7 изменение 10 вводит важные новые элементы управления безопасностью

Filed Under: Featured, Java, Oracle, Security threats

Oracle Java только патчи для уязвимостей три (?) Раз в год, но это не означает, что он не освобождает других исправить ошибку и особенности релизов почти повсеместно среды выполнения.

На прошлой неделе Oracle Java 7 поставляется обновления 10 (Java 7u10), последний в Java 7 серии, которая включает в себя новые элементы управления безопасностью в дополнение к исправить ошибку и обновленные данные часовых поясов.

Каковы эти новые элементы управления?

Панель управления Java Первый, мой любимый, позволяет отключить плагин Java Web, сняв один тик ящик. После установки Java 7u10 вы можете открыть панель управления Java и снимите флажок "Включить Java контент в браузере".

Для пользователей, имеющих Java-приложений (как я!) Отключение веб-плагина устраняет большинство рисков, связанных с наличием Java установлена.

Java также будет сейчас проверить, если он находится на последнем безопасности "базовый". Что это значит? Ну, это означает, что последняя версия Java, которая была выпущена с исправления для известных уязвимостей, которые по состоянию на объявление является Java 7u9.

Oracle говорится:

Если JRE считается истекшим или небезопасно, дополнительных предупреждений безопасности отображаются на дисплее. В большинстве из этих диалогов, пользователь имеет возможность блокировать запуск приложения, для продолжения работы приложений, или для перехода к java.com для загрузки последней версии.

На мой взгляд, это немного безопасность порядке. Не позволять пользователям выбирать варианты, которые заведомо поместить их в путь вреда. Как профессионалы в области безопасности мы должны перестать ждать пользователям для принятия важных решений безопасности ( сертификат браузера предупреждения кто?).

Java 7u10 также вводит понятие уровней безопасности. По умолчанию уровень средней, которая позволяет ненадежных приложений для запуска Java, если ваш не будет исправлена, но только позволит подписанные приложения для запуска, если вы устарел.

Это страшное умолчанию. На мой взгляд, вы не должны запускать Java-приложения без уведомления и, конечно, не следует запускать неподписанные приложения.

Даже подписанные приложения не может быть безопасным, если ваши Java уязвима. К счастью, есть пользовательский вариант , который позволяет вам настроить это поведение.

Java control panel customize settings Вы можете контролировать, будет ли работать без строки, Запрашивать или Не выполнять для трех различных ситуациях.

Я предпочитаю, чтобы отключить Java в Вашем браузере полностью, но если вы не можете, то я рекомендую не баллотироваться на ненадежных приложений ли Java в актуальном состоянии или нет.

Для локальных апплетов настройку подсказки пользователю будет оповещать вас о том, что то, что использует Java пытается запустить и обеспечить возможность блокировать его, если вы не намеренно выполнения Java-кода.

Я думаю, это здорово, что делает Oracle Java более настраиваемый и, возможно, они будут способствовать дальнейшему укреплению настройки по умолчанию в будущих выпусках. Я рекомендую всем, обновление и выберите настройки, наиболее подходящие для их среды.

Системные администраторы должны обратить особое внимание на примечания Oracle релиз как есть параметры командной строки для развертывания Windows, управлять этими новыми настройками. Было бы подобает вам, чтобы заблокировать их вниз так сильно, как вы смеете.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.