Java 7的更新10引入了重要的新的安全控件

Oracle只修补的安全漏洞()次的Java,但是这并不意味着它不会释放其他错误修复和功能版本几乎无处不在的运行时环境。

上周,甲骨文运Java 7的更新(Java 7u10),最新的Java 7的系列,其中包括新的安全控件 ,除了一个bug修复和更新时区数据。

这些新的管制措施是什么?

Java控制面板第一个,我最喜欢的,让你禁用Java Web插件,通过取消一个单一的标记框。 ,安装Java 7u10后,你可以打开Java控制面板,并取消选中“选项”启用Java在浏览器中的内容“。

对于有基于Java的应用程序(像我!)禁用的用户消除了大部分的风险与已安装Java Web插件。

Java将检查,看它是否是最新的安全“基线”。这是什么意思呢?嗯,这意味着最新的Java版本所发布的修复已知的漏洞,这个贴子是Java 7〜9。

甲骨文指出:

如果的JRE被认为是过期的或不安全的,额外的安全性警告显示。在这些对话框中,用户可以选择阻止运行的应用程序,继续运行的应用程序,或去java.com下载最新的版本。

在我看来,这是一个有点失败的安全。不要让用户选择明知的选择,将它们放置在危害方式。作为安全专业人员,我们必须停止期待用户做出重要的安全决策( 浏览器证书警告的人?)。

的Java 7u10还引入了安全级别的概念。默认级别为中等,允许不受信任的应用程序来运行,如果您的Java修补,但只允许签名的应用程序运行,如果你已经过时了。

这是一个可怕的默认值。在我看来,你应该永远没有通知的情况下运行Java应用程序,当然不应该运行未签名的应用程序。

如果您的Java是脆弱的,即使签署的应用程序可能无法安全。幸运的是有一个自定义选项 ,使您可以微调行为。

Java control panel customize settings您可以控制是否不提示提示用户运行或不运行三种不同的情况。

我宁愿完全在您的浏览器禁用Java,但如果你不能,那么我建议不要运行不受信任的应用程序的Java是否是日期或。

对于本地的小程序提示用户设置的提醒你的东西,它使用Java的运行,并提供了一​​个机会来阻止它,如果你不故意执行Java代码的事实。

我认为这是伟大的,甲骨文正在使Java更可配置的,也许他们会在未来的版本中进一步加强的默认设置。我建议大家更新,并选择最适合他们的环境的设置。

系统管理员应该要特别注意有命令行选项来控制这些新设置的Windows部署到Oracle的发行说明。这理应把他们紧紧你敢。