Java to Zło, a Zło trzeba tępić
Podoba mi się trend promowany przez Apple’a na likwidowanie wtyczek do przeglądarki. Niechętnie je uruchamiam, a najlepiej nie instaluję ich wcale. Czasem jednak bez nich nie da rady czegoś załatwić. Więc niech chociaż działają poprawnie. W przypadku Javy to chyba już niemożliwe.
O zawodności wtyczek do przeglądarek głośno jest głównie dzięki Flashowi. Z dwóch powodów. Po pierwsze, jest chyba najbardziej widoczną wtyczką dla użytkownika. Ciężko znaleźć witrynę, na której Flash nie jest obecny, chociażby w formie banneru reklamowego. Po drugie, swego czasu głośno było o konflikcie Adobe kontra Steve Jobs. Szef Nadgryzionego Jabłka, poniekąd słusznie zauważył, że na Flasha w erze post-PC nie ma miejsca. Jest dziurawy, zasobożerny i trudny w obsłudze dotykiem.
Istnieje jednak równie popularna wtyczka, która pozwala uruchamiać aplikacje w przeglądarce internetowej. Nazywa się Java, i albo dobrze ją znacie, albo chociaż o niej słyszeliście. Posiadam to ustrojstwo, bo webowy interfejs mojego NAS-a tego wymaga. A najchętniej wyrzuciłbym to w diabły. Zwłaszcza, że w tym przypadku zachęca mnie do tego nie tylko szef Wielkiej i Istotnej Firmy, ale sam rząd amerykański.
W najnowszym rządowym biuletynie umieszczono rekomendację, która w stanowczy sposób zaleca wyłączenie Javy lub jej odinstalowanie. Powodem tak drastycznej krytyki wobec produktu prywatnej, amerykańskiej firmy jest zagrożenie, jakie ów produkt stwarza. Java jest popularna, powszechna, więc opłaca się cyberprzestępcom ją atakować. I jest dziurawa jak ser szwajcarski. Co więcej, usterki te są dobrze znane e-bandziorom i przez nich wykorzystywane.
Najnowszy exploit, którego odkrycie było motywacją do opublikowania biuletynu, wykorzystuje… łatkę do Javy, która usuwała inny problem. Owa łatka była opublikowana rok temu, ale była taką fuszerką, że w wyniku jej instalacji powstały nowe luki w zabezpieczeniach. Przez rok cyberprzestępcy mogli za jej pomocą włamywać się do urządzeń, w których funkcjonuje Java. A Oracle chwali się, że jest ich ponad miliard.
Oracle opublikował, trzeba przyznać, dość szybko, łatkę do Javy. I już pojawia się krytyka ze strony ekspertów do spraw bezpieczeństwa komputerowego. Agencja Reuters cytuje HD Moore’a z Rapid7, który uważa, że by załatać wszystkie wykryte już usterki w Javie, i mowa tu tylko tych związanych z bezpieczeństwem, Oracle musi poświęcić na to… dwa lata. Kaspersky Lab w informacji prasowej dodaje, że według jego badań, w ubiegłym roku za ponad połowę włamań na komputery PC odpowiadała Java. Za ponad połowę!
Zastanów się więc, czy tej Javy tak na serio potrzebujesz. Jeżeli nie, usuń z hukiem i nie żałuj. Zazdroszczę, bo ja nie mogę.
Maciek Gajewski jest dziennikarzem, współprowadzi dział aktualności na Chip.pl, gdzie również prowadzi swojego autorskiego bloga.
