فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)
جافا تتعرض للهجوم.
ليس فقط من القبعات السوداء الذين يصممون عمليات التنزيل عن طريق الكمبيوتر ، والمرفقات الخبيثة ، وغيرها من الهجمات التي تستغل نقاط الضعف في التكنولوجيا ، ولكن أيضًا من القبعات البيضاء التي تجادل بأن المستخدمين يجب ألا يستخدموها على الإطلاق. حتى بعد تصحيح Oracle لأحدث دفعة من نقاط الضعف في الصفر في Java ، أوصى فريق الاستعداد لحالات الطوارئ في الكمبيوتر التابع لوزارة الأمن الداخلي (US-CERT) المستخدمين بإيقاف تشغيل Java.
مثل الكثير من Adobe's Flash ، تعد Java هدفًا شائعًا نظرًا لقاعدتها الكبيرة والمثبتة بشكل كبير. إذا كنت لا تستخدم حقًا مواقع الويب التي تتطلب جافا ، فاستمر في ذلك. لدينا حتى مجموعة لطيفة من الإرشادات حول كيفية تعطيل Java داخل المستعرض الخاص بك.
لكنني استخدم جافا!
ثم ، هناك البقية منا الذين يستخدمون Java فعليًا بشكل منتظم.
"أشك في أن أي شخص يهتم بالنصيحة الأمنية يقوم بتشغيل Java ، IE 6/7/8 ، وآخرون لأنهم يريدون - نحن ندير هذه الأشياء لأننا مضطرون لذلك ، والقرار خارج عن سيطرتنا" كتب دانيال جاك جاك دانيال عن الأمن غير المألوف.
عندما نظرت حولي لمعرفة التطبيقات التي تستخدم Java ، أدركت أن العديد من تطبيقات سطح المكتب الشائعة تتناسب مع الفاتورة ، بما في ذلك بدائل Office و ThinkFree Office و LibreOffice و OpenOffice ، فضلاً عن الألعاب الشائعة مثل Minecraft. تتطلب العديد من تطبيقات Adobe أيضًا تشغيل Java لبعض المكونات. ليس هناك ما يدعو للقلق ، فهذه تطبيقات Java مستقلة ، وليست تلك التي تعمل داخل متصفح الويب.. إذا اتبعت الإرشادات خطوة بخطوة ، فقم بتعطيل Java فقط في المستعرض. ستظل التطبيقات المحلية تعمل بشكل جيد.
ولكن اتضح أن هناك الكثير من مواقع الألعاب والشركات التي لا تزال تستخدم Java. ومن الأمثلة على ذلك الخدمات المصرفية المتخصصة ، مثل بنك سيتي الخاص ، الذي يجمع بين الاستثمار والخدمات المصرفية التقليدية في حساب واحد. توفر الخدمات السحابية مثل Box.net أدوات التحميل للملفات المجمعة باستخدام Java. تقدم كل من Citrix و Cisco منتجات SSL VPN أقل عميلاً ، والتي تتيح للمستخدمين إنشاء نفق VPN آمن عن بعد باستخدام متصفح ويب يدعم Java.
هل أنت طالب؟ من المحتمل أن تستخدم مدرستك Blackboard ، والذي يتطلب أحدث إصدار من مكون Java الإضافي لتحميل الملفات والمرفقات ، واستخدام ميزة الدردشة في الوقت الفعلي Virtual Classroom ، ولتمكين بعض الميزات التفاعلية على النظام الأساسي.
Pogo.com و KidsPlayPark.com تقدم ألعاب جافا على الإنترنت. يبدو أن العديد من مستخدمي بوجو ، الذين يشعرون بالقلق من أحدث التهديدات ، قد استبدلوا Java 7 بـ Java 6 (والذي لن يعد أوراكل يدعمه بعد فبراير) ، وفقًا لما نشر في منتديات المستخدمين. فقط لكي تعرف ، هذه فكرة سيئة للغاية. هناك الكثير من الهجمات التي تستهدف البرامج القديمة ؛ ليست هناك حاجة للمخاطرة بمجموعة مختلفة من الهجمات لمجرد تجنب آخر محصول.
ما هي البدائل لتكنولوجيا المعلومات؟
كتب يوهانس أولريتش من معهد SANS على مدونة Internet Storm Center الأسبوع الماضي: "إذا كان لديك أي تطبيقات مهمة للأعمال تتطلب جافا: حاول العثور على بديل".
يبدو أن منصات مؤتمرات الويب هي أكبر حواجز الطرق. اعتاد كل من Cisco و WebEx و Citrix GoToMeeting على طلب Java ، لكن كلا النظامين قاما بتعديل تطبيقاتهما مؤخرًا لاستخدام إصدار مختلف إذا لم يتمكن من العثور على Java. قال سيتريكس إنه في طريقه إلى التخلص التدريجي من جافا بالكامل. غير أن آخرين في الفضاء ، بما في ذلك MeetingBurner و Brother's OmniJoin ، لا يزالون يستخدمون Java. Join.me و ClickMeeting و ReadyTalk تستند إلى Flash.
على الرغم من أن أدوات الوصول عن بعد كانت تعتمد في الغالب على جافا ، إلا أن هناك قائمة متزايدة من البدائل التي يمكن استخدامها للدعم الفني ، وفقًا لما قاله تشيت ويسنيفسكي ، مستشار الأمن في سوفوس ، لـ SecurityWatch . يتم أيضًا تضمين عملاء سطح المكتب البعيد في نظام التشغيل Mac OS X و Windows.
وقال "لدعم أمي وأبي ، استخدم الإصدار المجاني من LogMeIn". يستخدم LogMeIn مجاني ActiveX.
ماذا لو لم أتمكن من التبديل؟
بالنسبة لكثير من الشركات ، "ليس هناك بديل" ، كما قال توماس كريستنسن ، CSO من Secunia ، لـ SecurityWatch . على الرغم من أنه قد يكون من الممكن استبدال بعض التطبيقات ، بشكل عام ، سيحتاج المسؤولون إلى التوصل إلى طرق أخرى لحماية موظفيهم. وقال كريستنسن إن إحدى طرق تقليل سطح الهجوم هي تمكين جافا فقط لأولئك الذين يحتاجون إليها بالفعل وتعطيلها للجميع.
بدلاً من إخبار الموظفين بالتوقف عن استخدام Java ، ينبغي على المؤسسات التركيز على "التفاف الفقاعة" لحماية المستخدمين ، وفقًا لـ Invincea Anup Ghosh لـ SecurityWatch . يمكن للمستخدمين تصفح الويب عبر مستعرض افتراضي ، وإذا واجهوا أي مواقع ضارة ، أو فتحوا ملفًا مفخخًا عن طريق الخطأ ، أو حاولوا تنزيل برامج ضارة ، فإن البيئة الافتراضية تمنع الهجوم من التشغيل على الجهاز الفعلي. الثاني المتصفح الافتراضي مغلق ، تتم إزالة الهجوم. والأهم من ذلك كله ، أن المتصفح الافتراضي يحميك من مجموعة واسعة من التهديدات ، وليس فقط تلك القائمة على جافا.
يمكن للمستخدمين اعتماد نظام متصفح اثنين. إذا كنت تتصفح الويب عادةً باستخدام Firefox ، على سبيل المثال ، فكر في تعطيل مكون Java الإضافي في Firefox. بعد ذلك ، قم بتمكين Java في مستعرض بديل مثل Chrome و IE9 و Safari وما إلى ذلك ، واستعرض فقط للمواقع التي تحتاج إلى Java ولم تستخدمها لتصفح الويب عمومًا.
وقال ويسنيفسكي: "من الأفضل تمكين جافا في متصفح واحد واستخدام هذا المتصفح فقط للمواقع التي لن تعمل بدونها".
يحب المهاجمون تغيير الأهداف - فلاش ، Internet Explorer ، Adobe Reader. وكتب روب فاندين برينك من موقع ميتافور في مركز ستورم للانترنت: "لكل شخص يوم صفر في وقت واحد".
يعد تعطيل Java مجرد وسيلة للدفاع ضد تهديدات الويب ، ولكن ليس حلاً عالميًا. وقال إنه يمكن للمنظمات أن تحد من تعرضها وتبني ممارسات أمنية ، مثل تصفية الويب وجعل المستخدمين يديرون بامتيازات محدودة لمنع الهجمات.
"توقف عن توجيه أصابع الاتهام وتقديم توصيات شاملة لا يمكن اتباعها" ، كتب VandenBrink.
لمعرفة المزيد من Fahmida ، تابعها على TwitterzdFYRashid.