کمیته رکن چهارم – افسانههایی در مورد جاوا! خواندن این مقاله شاید شما را با واقعیتهایی در مورد جاوا آشنا کند!
آیا جاوا، بزرگترین فعالکننده برنامههای مفید است یا اینکه یک هدر دهنده فضا است که زیان آن بیشتر از سود آن است؟
در اواخر آگوست اخباری منتشر شد مبنی بر دو آسیبپذیری جدید و اصلاح نشده و جدی در جاوا (CVE-2012-4681 به همراه شواهد متعدد و معتبری که نشان میداد مجرمان سایبری در حال سوءاستفاده از این آسیبپذیریها هستند.
همین موضوع ادامه استفاده از جاوا را در معرض سؤال قرار داد.
اوراکل این نقص امنیتی را در یک اصلاحیه خارج از نوبت و فوری ترمیم کرد.
اما به گفته شرکت امنیتی لهستانی Security Explorations، اوراکل ماهها قبل در مورد این آسیبپذیری آگاه شده بود و در مورد آن کاری صورت نداده بود.
مدت کوتاهی پس از عرضه این اصلاحیه، محققان لهستانی اعلام کردند که یک آسیبپذیری جدید در این اصلاحیه کشف کردهاند، که اجازه عبور از sandbox این نرمافزار را صادر مینماید.
حال سؤال اینجاست که آیا کاربران و شرکتها باید جاوا را بر روی سیستمهای خود نگاه دارند؟ در هر دو مورد پاسخ مثبت است، اما به این شرط که واقعا به آن نیاز داشته باشند.
حال به برخی افسانهها و تصورات موجود در این مورد میپردازیم.
افسانه اول
من فقط در شرایط خاص به جاوا بر روی سیستم خود نیاز دارم
برای شرکتها، تصمیمگیری در مورد اینکه JRE مورد نیاز است یا خیر، بسیار سرراست و راحت است و در اغلب موارد نیز جواب این سؤال مثبت است.
احتمالا ادمینها اجازه استفاده از جاوا را بر روی کامپیوترهای دسکتاپ صادر نمیکنند، مگر اینکه دلیل مشخصی داشته باشد.
اما مصرفکنندگان در بسیاری موارد جاوا را بر روی سیستم خود دارند، در حالیکه نیازی به آن ندارند.
بر روی بسیاری از کامپیوترها نیز جاوا بهطور پیشفرض نصب شده است.
به خاطر داشته باشید که جاوا بر روی کامپیوتر نصب میگردد، اما در داخل مرورگرها نیز میتواند فعال یا غیرفعال گردد.
افسانه دوم
جاوااسکریپت همان جاوا است
این اشتباه است! صرفنظر از استفاده از لغت جاوا، این دو کاملا غیرمرتبط هستند.
جاوااسکریپت در سال ۱۹۹۵ توسط «برندان ایخ» و در حالی که برای Nestscape کار میکرد، اختراع شد.
وی اعتقاد داشت که واسط اسکریپتی وی برای تعاملی کردن مرورگرها و وبسایتها بسیار مفید است.
افسانه سوم
نسخههای قدیمی بیضرر هستند
این یک افسانه دیگر در مورد جاوا است.
بسیاری از کاربران حتی پس از دانلود بهروز رسانیهای امنیتی، باز هم فراموش میکنند که نسخههای قدیمی را حذف نمایند.
همانطور که اوراکل در ماه می اظهار داشت، نگه داشتن نسخههای قدیمی و بدون پشتیبانی جاوا بر روی سیستم، یک خطر امنیتی جدی به حساب میآید.
این شرکت به کاربران خود راهنمایی میکند که چهطور این کار را انجام دهند.
انجام این کار بسیار ساده و در عین حال مهم است. اما بسیاری از کاربران کامپیوتر، از اهمیت این موضوع آگاه نیستند و ترجیح میدهند وقت خود را با کارهای دیگری پر کنند.
اما چرا اوراکل در هنگام نصب جاوای جدید، نسخههای قدیمی را حذف نمیکند؟ زیرا ممکن است نسخههای قدیمی توسط برخی برنامهها مورد استفاده قرار گیرند و به همین دلیل اوراکل این کار را انجام نمیدهد.
یک نکته مهم حصول اطمینان از این موضوع است که نسخههای جدید جاوا بهطور خودکار دانلود میگردند و سیستم نیز بهطور مرتب و در فواصل زمانی مناسب، عرضه نسخههای جدید را مورد بررسی قرار میدهد.
این مدت زمان بهطور پیشفرض یک ماه است که شاید بهتر باشد کمتر گردد.
در ویندوز، برنامه جاوا را از کنترل پنل اجرا کرده و بر روی سربرگ Update/advanced کلیک نمایید تا این فاصله زمانی را به مدتی کمتر (مثلا یک بار در هفته) کاهش دهید.
افسانه چهارم
آسیبپذیریهای جاوا، یک مشکل ویندوز هستند
نقایص امنیتی جاوا میتوانند بر روی تمامی پلتفورمهایی که runtime در آنها وجود دارد، از جمله اپل و لینوکس تأثیر بگذارند.
البته این بدان معنا نیست که هر نقص امنیتی جاوا تمامی این پلتفورمها را بهطور یکسان تحت تأثیر قرار میدهد.
اغلب بدافزارهای سوءاستفاده کننده از نقایص امنیتی جاوا، کاربران ویندوز را هدف قرار میدهند.
اما تروجان فلشبک که اوایل سال میلادی جاری شناسایی شد، ثابت کرد که کاربران Mac نیز در برابر خرابکاریهای جاوا مصون نیستند.
این بدافزار از یک آسیبپذیری جاوا (CVE-۲۰۱۲-۰۵۰۷) سوء استفاده میکند که باید توسط خود اپل اصلاح میشد. در حقیقت کاربران اپل با دو لایه وابستگی روبرو هستند، اوراکل و اپل.
افسانه پنجم
اوراکل از من محافظت خواهد کرد
اگر این موضوع که اوراکل در پاسخگویی به آسیبپذیریها ماهها تعلل کرده است، این افسانه خود به خود از جرگه واقعیت خارج میگردد.
بدافزارنویسان سالهاست که در حال شکار نقایص جاوا هستند و به نظر میرسد که این موضوع، چندان اوراکل را تحت تأثیر قرار نداده است.
منبع : ایتنا
