2013年，Java占所有计算机漏洞的91%。大多数人不仅启用了Java浏览器插件-他们使用的是过时的易受攻击的版本。嘿，Oracle-是时候在默认情况下禁用该插件了。

甲骨文知道这种情况是一场灾难。他们已经放弃了Java插件的安全沙箱，该沙箱最初旨在保护您免受恶意Java applet的攻击。Web上的Java小程序可以使用默认设置完全访问您的系统。

Java浏览器插件是一场彻头彻尾的灾难

每当像我们这样的网站写到Java极其不安全时，Java的捍卫者往往会抱怨。“那只是浏览器插件，”他们说--承认它有多坏。但是，在市面上的每个Java安装中，缺省情况下都启用了该不安全的浏览器插件。最新的统计数据不言而喻。即使在How-to Geek这里，95%的非移动访问者也启用了Java插件。我们是一个不断告诉读者卸载Java或至少禁用插件的网站。

在整个互联网范围内，研究不断表明，大多数安装了Java的计算机都安装了过时的Java浏览器插件，可供恶意网站破坏。2013年，Webense安全实验室的一项研究显示，80%的计算机安装了过时的易受攻击的Java版本。即使是最慈善的研究也是可怕的-他们往往声称超过50%的Java插件已经过时。

2014年，思科的年度安全报告称，2013年所有攻击中有91%是针对Java的。甲骨文甚至试图利用这个问题，将可怕的Ask Toolbar和其他垃圾软件与Java更新捆绑在一起-保持优雅，甲骨文。

甲骨文放弃了Java插件的沙盒

Java插件运行嵌入在网页上的Java程序或“Java小程序”，类似于Adobe Flash的工作方式。因为Java是一种用于从桌面应用程序到服务器软件的复杂语言，所以该插件最初设计用于在安全沙箱中运行这些Java程序。这将防止他们对您的系统做有害的事情，即使他们试图这样做。

不管怎么说，这就是理论。在实践中，似乎无休止的漏洞流允许Java applet逃离沙箱并在您的系统上粗暴运行。

甲骨文意识到沙箱现在基本上坏了，所以沙箱现在基本上死了。他们已经放弃了。默认情况下，Java将不再运行“未签名”的小程序。如果安全沙箱是可信的，运行未签名的小程序应该不是问题--这就是为什么运行你在网络上找到的任何Adobe Flash内容通常都不是问题的原因。即使Flash中存在漏洞，它们也已经修复，Adobe不会放弃Flash的沙盒功能。

默认情况下，Java将只加载签名的小程序。听起来不错，好像是一个很好的安全改进。然而，这里有一个严重的后果。当Java小程序签名时，它被认为是“可信的”，并且不使用沙箱。正如Java的警告消息所说：

即使是Oracle自己的Java版本检查小程序-一个运行Java检查已安装版本并告诉您是否需要更新的简单小小程序-也需要这种完全的系统访问权限。这完全是疯了。

换句话说，Java确实已经放弃了沙箱。默认情况下，您既不能运行Java小程序，也不能以对系统的完全访问权限运行它。除非调整Java的安全设置，否则无法使用沙箱。沙箱是如此不可信任，以至于您在网上遇到的每一点Java代码都需要完全访问您的系统。您不妨直接下载一个Java程序并运行它，而不是依赖浏览器插件，因为它没有提供最初设计要提供的额外安全性。

正如一位Java开发人员解释的那样：“Oracle正在打着提高安全性的幌子故意扼杀Java安全沙箱。”

Web浏览器正在自行禁用它

值得庆幸的是，网络浏览器正在介入修复甲骨文的无所作为。即使您安装并启用了Java浏览器插件，Chrome和Firefox在默认情况下也不会加载Java内容。他们对Java内容使用“点击播放”。

Internet Explorer仍会自动加载Java内容。Internet Explorer在一定程度上有所改善--它终于在2014年8月开始屏蔽过时的、易受攻击的ActiveX控件，同时还发布了“Windows 8.1 8月更新”(又名Windows 8.1 Update 2)。Chrome和Firefox这样做的时间要长得多。在这里，Internet Explorer再次落后于其他浏览器。

如何禁用Java插件

每个需要安装Java的人至少应该从Java控制面板禁用该插件。在最新版本的Java中，您可以轻触Windows键一次打开开始菜单或开始屏幕，键入“Java”，然后单击“配置Java”快捷键。在Security选项卡上，取消选中“在浏览器中启用Java内容”选项。

即使您禁用了该插件，“我的世界”和任何其他依赖于Java的桌面应用程序也会运行得很好。这将仅阻止嵌入在网页上的Java小程序。

是的，Java小程序仍然存在于野外。您可能最常在内部站点上找到它们，在这些站点上，一些公司有一个古老的应用程序，它被编写为Java applet。但是Java小程序是一项死气沉沉的技术，它们正在从消费者网络上消失。他们应该和闪电侠竞争，但是他们输了。即使您需要Java，也可能不需要插件。

偶尔需要Java浏览器插件的公司或用户应该进入Java的控制面板并选择启用它。应该将该插件视为遗留兼容性选项。