Так ли необходимо удаление Java с Мака?

Автор — Тофер Кесслер

Многие специалисты в среде информационных технологий рекомендуют пользователям компьютеров (не только Мак) на своих машинах удалять программный пакет Java. Связано это с чередой серьёзных уязвимостей в продукте от Oracle, растиражированных СМИ. В Мак-сообществе помимо печально знаменитого Flashback не так давно стало известно о новой «уязвимости нулевого дня». Несмотря на то, что программисты Oracle отреагировали оперативно и выпустили внепланово одиннадцатое обновление для Java 7, эксперты отмечают, что и оно не устраняет всех брешей в безопасности.

Но удаление Java на сегодняшний момент достаточно радикальный способ обеспечения безопасности пользования компьютером. Многим по-прежнему требуется запускать Java-приложения: это могут быть какие-либо технические утилиты (например, для настройки сетевых решений от Cisco), программы web-разработки или распространённые в РФ банк-клиенты.

Так как сохранить защищённость вашей системы, сохранив потенциально опасную Java?

Существует два важных аспекта установки программной среды от Oracle. Во-первых, собственно сама среда, содержащая свои библиотеки и исполняемые файлы, помогающие запускать Java-приложения. И во-вторых, веб-плагин, позволяющий «подключить» ваш браузер к этой программной среде и осуществляющий запуск программ.

В работе интернет-плагина и кроется основная беда. До тех пор, пока существуют уязвимости в среде выполнения Java, дополнение к браузеру является посредником, позволяющим удалённо их использовать злоумышленникам. Вы открываете страничку, содержащую небезопасное Java-приложение, оно задействует существующую «дыру» и загружает вредоносное ПО в вашу систему. Но если контролировать его работу (подключать плагин «по требованию»), вы добьётесь необходимого компромисса: ОС будет надёжно защищена и вы сохраните возможность запуска Java-апплетов.

Существуют несколько способов реализовать поставленную задачу:

  1. Просто отключить интернет-плагин и подключать при необходимости
    Теоретически мы сохраним возможность работы тех самых небезопасных Java-приложений, но для того, чтоб они функционировали, нам будет нужно загружать их с заражённого сайта самостоятельно и вручную запускать. Для отключения интернет-плагина следует воспользоваться Java Control Panel, начиная с версии Mac OS 10.7.3 найти её можно по адресу  → Системные настройки → Java Control Panel. Всё, что нужно сделать — снять галочку в чекбоксе «Enable Java content in the browser» в разеделе Security.


  2. Альтернативный способ выключения интернет-плагина при использовании браузера Safari. Просто откройте настройки программы и снимите галочку как показано на картинке

  3. Воспользоваться встроенной в Java системой безопасносности
    Всё в той же Java Control Panel в разделе Security есть встроенное средство проверки безопасности Java-приложений, не позволящее запустить неподтверждённое ПО. Чтобы оно работало, Security Level должен быть выставленным на «High» или «Very High». Наподобие Gatekeeper от Apple, который не позволяет запускать неподписанное или загруженное минуя App Store программное обеспечение, при попытке запуска подозрительных Java-приложений вам будет предложено разрешить или запретить это действие.

  4. Использовать дополнительное ПО сторонних разработчиков, контролирующее работу интернет-плагинов
    Лучшим решением по-прежнему остаётся отключение Java-плагина, но это достаточно неудобный способ использования компьютера в повседневной жизни. Поэтому можно установить какой-либо менеджер плагинов, например, ClickToPlugin для Safari, позволяющий блокировать многие интернет-плагины (например, Adobe Flash). Плюс этого менеджера в том, что приложение не запустится автоматически, нужно сделать простой клик по содержимому, прежде чем оно начнёт функционировать. Можно вносить интернет-странички в чёрные и наоборот, белые списки. Хотелось бы отметить, что ClickToPlugin не блокирует все Java-приложения и для их управления в Safari подходит не идеально (но при обновлённой Java и установленном уровне безопасности «Very High» интернет-плагин итак не запустится, не спросив вашего разрешения).


  5. Мультфильм не посмотреть пока не щёлкнуть в сером поле с надписью «Flash»

Некоторые браузеры, такие как Chrome от Google уже имеют опцию «Нажмите для воспроизведения» (или «Спрашивать перед запуском» в Yandex, (просто скопируйте и вставьте этот текст в адресной строке вашего браузера: chrome://chrome/settings/content#click и отметьте описанную выше настройку)). Для пользователей браузера Firefox есть прекрасное расширение NoScript, помогающее управлять запуском нежелательных плагинов.


Настройки Яндекс.Браузера

Ну и для законченных параноиков для тех, кто желает контролировать компьютер и все его активные подключения на наивысшем уровне, существует превосходный брандмауэр Little Snitch. Ни одно приложение, пытающееся подключиться к внешнему серверу, не останется вами незамеченным. В программе можно тонко настроить правила и первое время выскакивающие надоедливые предложения «разрешить» или «запретить» то или иное подключение (включая элементарную сверку времени с сервером Apple) постепенно будут появляться всё реже и реже.

Java как была, так и остаётся не самым совершенным продуктом в мире информационных технологий. По мнению аналитиков, для того, чтобы устранить все уязвимости в этой среде выполнения, у разработчиков может уйти до двух лет. Это означает, что практически всё время использования решения от Oracle нам с вами, пользователям, следует его контролировать. Тем не менее, такие простые дополнения, как менеджеры плагинов и брандмауэр позволят вам полностью взять власть над вашим компьютером и даже когда вредоносный код будет запущен и успешно отработает в вашей системе, вы сможете удержать ваши личные данные и избежать их передачи злоумышленникам. Так нужно ли удалять Java с вашего компьютера?

Загрузить последнюю версию Java 7 (одиннадцатое обновление на момент публикации статьи) вы можете здесь. Убедиться в том, что в вашей системе оно успешно установилось и используются правильные настройки безопасности вы можете открыв тестовую страничку от разработчиков. Ну и если вы всё-таки решили окончательно и бесповоротно удалить Java с вашего Мака, ждите от нас отдельной публикации. Не всё так сложно, но есть множество ньюансов, о которых мы хотели бы предупредить.

О Дмитрий Кирьянов

Старший инженер технической поддержки одного из известных в Мак-сообществе авторизованного Apple сервис-центра.
Метки , . Закладка постоянная ссылка.