A coluna Segurança Digital já recomendou desativar o Java no navegador web principal e manter um segundo navegador com Java habilitado para visitar com ele somente os sites que necessitam de Java. O que motivou essa recomendação – que é incomum para a coluna – foi os diversos problemas de segurança e de projeto do Java. Felizmente, a Oracle, que desenvolve o software, resolveu alguns problemas, mas ainda seguem outros. Vamos ver hoje o que mudou.
Java é uma linguagem de programação e também o nome popular de um software necessário para usar os programas feitos em Java (a própria Oracle, por exemplo, usa expressões como “faça o download do Java”). Esse software é o Java Runtime Environment (JRE). O JRE, além de viabilizar a execução de programas em Java no PC, que incluem aplicativos como Minecraft, JDownloader e Vuze, também possui um componente extra para executar aplicativos em Java diretamente a partir do navegador.
É esse componente que faz parte do navegador web que viabiliza ataques, pois uma página maliciosa é capaz de explorar problemas no Java ou a falta de atenção do internauta para instalar vírus no sistema. Para piorar, o pesquisador de segurança Adam Gowdiak afirmou que já encontrou duas novas vulnerabilidades no Java e comunicou a Oracle, que agora deverá produzir mais uma atualização. (Veja aqui o relato de Gowdiak, em inglês.)
Para saber como desativar o Java, veja o final da coluna. Mas, primeiro, vamos analisar alguns aspectos do Java para saber quais são os problemas do JRE e como usá-lo com mais segurança.
Escapando do isolamento
Java é capaz de realizar modificações no sistema operacional e interagir com dados armazenados no PC. Isso não pode ser dito, por exemplo, do Flash, outro plug-in comum em navegadores. Esse comportamento do Java é indesejado e, por esse motivo, o Java usa um recurso chamado “sandbox” para isolar os aplicativos em Java executados no navegador (chamados de applets).
No entanto, applets podem “escapar” do sandbox usando falhas de segurança ou obtendo permissão do internauta.
Autorizando um applet
Para autorizar um applet, o Java costumava exibir a seguinte janela:
O ideal seria que applets sem assinatura digital válida não fossem executados no navegador. Uma tecnologia concorrente do Java, o ActiveX, da Microsoft, é um exemplo: se um componente não tem assinatura digital válida, o internauta não recebe qualquer aviso. Ele é automaticamente rejeitado.
O problema ao permitir applets sem assinatura válida é que mesmo applets legítimos e seguros – como é o caso deste da foto, pertencente ao jogo Minecraft -, não usam assinatura digital. Assim, o usuário é obrigado a aceitar algo de um “editor desconhecido”, o que normalmente não é uma boa ideia.
É importante deixar claro que, fora alguns casos raros, pouquíssimos sites dependem do plug-in do Java que gera esses alertas das imagens. O usuário está muito mais sujeito a visitar sem querer sites maliciosos que usam o plug-in do Java do que sites legítimos.
Nenhum comentário:
Postar um comentário
Qualquer mensagem que inclua algum tipo de violação, palavra de mal gosto, e injurias serão apagadas. No mais, use esse espaço para sanar suas duvidas.