درگاهی برای افراد سودجو

آموزش جاوا

آموزش برنامه نویسی جاوا



آیا می بایست در استفاده از جاوا تجدیدنظر کرد؟

آیا زمان آن فرا نرسیده است که جاوا ویرایش یابد یا مصرف از آن را متوقف کنیم؟

جاوا، زبان پروگرام نویسی که برای جذابیت تعلت ی تر کردن وب طراحی شده به یکی از ضعیف ترین رابطه های رایانه درمقابل تهدیدهای خارجی تبدیل شده است. آسیب پذیری های اخیر جاوا را در نظر بگیرید که بتازگی توسط بدافزارها مورد سواستفاده قرار گرفته است: وقتی که اوراکل، سازنده جاوا، یک به روزرسانی اضطراری جهت استوار کردن نرم افزار ارائه کرد، تحلیل های امنیتی گزارش دادند که حتی کدهای معمولی نقاط آسیب پذیری بسیاری را در خود دارند.

ولی آخرین موارد امنیتی جاوا کاملا منحصر به فرد است؛ به گونه ای که بسیاری از شرکـت های تامین امنیت، مقصر حمله های اخیر بدافزارها را جاوا می دانند و اعلام کرده اند که دست کم ۹۰ درصد فرد ان، دیگر به جاوا احتیاج نخواهند داشت. در واقع بسیاری از کاربر ان تنها زمانی متوجه می شوند که جاوا روی سیسـتم آنها نصب شده است که به روزرسانی احتیاج پیدا می کنند.

چنانچه شما از رایانه شخصی خود مصرف می بکنید ، وقت ی که از شما خواسته می شود به طور مستمر ویندوز را به روزرسانی بکنید ، حتمـا حس آزاردهنده ای به شما دست می دهد.

طی سال های متمادی شرکت اپل و مایکروسافت سیـستم های حفاظتی خود را قوی تر کرده اند. سیـستم علت مک نسبتا در مساوی آسیب ها ایمن شده و اپل مدت هاست که دیگر دستگاه های خود را با جاوای از پیش نصب شده ارائه نمی نماید . مایکروسافت هم بعد از حمله کرم Conficker در اواخر سال ۲۰۰۸ نسخه کاملا امن برای پیشگیری از آسیب های سطح سیـستم علت تولید کرد که بعد از آن دیگر هیچ از کرم ها نتوانستند به سیسـتم های ویندوزی نفوذ کنند.

موزیلا اوپرا هم شبیه مایکروسافت، دهه قدیم را جهت مقاوم کردن مرورگرهایشان درمقابل تهاجمات به روزرسانی های پی درپی گذراندند. به عنوان مثال موزیلا ۲۸ اگوست، ۲۲۳۷ خطا (که اما تمام آنها خطاهای امنیتی نبودند) را فهرست کرد که در نسخه ۱۵ مرورگر فایرفاکس به طور کامل برطرف شد.

حتی چنانچه امنیت سیستم علت مرورگر شما بوسیله شرکـت های معتبر تامین شده باشد، همیشه افرادی پیدا می شوند که نقاط ضعف را یافته و از آنها سواستفاده می کنند.

رابطه ضعیف در زنجیره امنیت

امروزه که نفوذ به سیسـتم علت مرورگرها سخت تر شده است، سارقان اطلاعات، تاکتیک خود را عوض کرده و هدف را روی دو رابطه ضعیف باقیمانده قرار داده اند: افزونه هایی که از طرف افراد بیرونی در مرورگر نصب می شود و خود کاربر ان. در حالی که افزونه ها ارتقا می یابند، جاوا به عنوان یک وسیله برای تهاجم های اتوماتیک ـ که اکثرا به وسیله کیت های فعال سازی ارزان قیمت در فروشگاه های سیاه به فروش می رسند ـ مورد سواستفاده قرار می گیرد. وبسایت فوربس ماه مارس فهرستی منتشر کرد که در آن نشان داده شده بود چه خریداران نابکاری جهت دسترسی بیشتر به نقاط آسیب پذیر نو هزینه پرداخت می کنند. پس پرداخت انعام چهل تا صد هزار دلار به کدنویسان برای ایجاد انگیزه کار کردن تمام وقت، منصفانه به نظر می رسد!

بخشی که باعث می شود این گونه افراد جذب جاوا شوند، حضـور آن در تمام جاست. جاوا برخلاف دیگر افزونه های یک مرورگر در نزدیک ترین پارت به سیـستم های علت اجرا می شود در واقع برای بدافزارها زیاد به صرفه خواهد بود. نویسندگان بدافزارها خواهان بیشترین بازگشت سرمایه از سرمایه گذاری های در گسترش بدافزارها هستند و این به مفهوم هدف بدافزارها روی وسیع ترین بازار ممکن قرار دارد.

اما اگر چه شرکت اوراکل در مقابل این مساله موضع گرفته است، ولی جاوا این بازگشت سرمایه را جهت آنها انجام می دهد. وقت ی که شرکـت سان در ۲۰۰۹ توسط اوراکل خریداری شد، جاوا نیز به این شرکـت رسید.

وارد کردن و نصب پچ های جاوا

درست است که اوراکل (و قبل از آن سان) به روزرسانی هایی برای ویرایش موارد امنیتی جاوا ارائه می نماید ، ولی نصب کردن آن به روزرسانی ها در رایانه ها و دستگاه های میلیون ها فرد نهایی همچنان به عنوان چالش بیان است.

کمپانی های امنیتی که نرم افزار های نصب شده بر رایانه های شخصی کاربر ان را دنبال می کنند، به صورت فصلی آسیب پذیری های جاوا و سرعت تثبیت آنها را گزارش می دهند. گزارش های امنیتی سه ماهه چهارم این کمپانی ها نشان می دهد که سال ۲۰۱۱، اوراکل پنج اگهی رسمی مشاوره ای انتشار کرد که به دلیل ۵۸ آسیب موجود در جاوا به کاربر ان هشدار می داد. پچ ها یا به روزرسانی ها وقت انتشار گزارش ها فقط در سه مورد از پنچ مورد در دسترس بودند. سال ۲۰۱۱ حدود ۷۸ درصد از بدافزارها به پروگرام های فرد دی آسیب پذیر یورش بردند؛ پروگرام هایی مثل جاوا، ادوبی فلش آکروبات.

وجود نرم افزار ی که روی یک رایانه نصب شده و به اینترنت متصل می شود، آن هم در ورژن های قدیمی و آسیب پذیر، برترین فرصت را برای افراد سودجو فراهم می آورد.

در بسیاری از موارد ، قابلیت به روزرسانی اتوماتیک جاوا ببهتر ی کار نکرده و کاربر ان عادی را از یاد می برد. حتی در ویندوز ۷ نسخه ۶۴ بیتی، جاوا دیگر افزونه ها شبیه فلش، در جداسازی ورژن های ۳۲ بیتی از ۶۴ بیتی ناتوان است؛ به این مفهوم که حتی چنانچه پچ ورژن ۶۴ بیتی جاوا را نصب کرده باشید، تا زمانی که ورژن ۳۲ بیتی آسیب پذیر جاوا هنوز در سیـستم وجود داشته باشد، سیستم کاملا ایمنی نخواهید داشت.

همان گونه که قبلا اشاره شد جاوا دیگر به عنوان بخش نصب شده سیـستم های علت معمول وجود ندارد؛ به صورت پیش فرض در لینوکس وجود ندارد و ورژن های اخیر ویندوز آن را در جای نداده است. در حال حاضر هم چند هفته بعد از حمله بدافزارها به OSX معین شده است که اپل به روزرسانی های مختص به خود را برای جاوا انتشار می نماید . این به مفهوم آن است که فرد ان مک برای هفته ها یا ماه ها به آخرین نسخه جاوا دسترسی نخواهند داشت.

زنگ تهدید برای جاوا

تمام این موارد سوالی را برای هر کاربر نهایی به وجود می آورد: بایستی به جای به روزرسانی، جاوا را بکلی رها یا حتی حذف کرد؟

به هر ترتیب جاوا فریم ورک خود را تحت سیـستم علت android اجرا می نماید به وسیله شرکـت هایی شبیه کیتریکس جهت انتشار سرویس هایی مانند GoToMeeting، GoToWebinar و GoToMyPC که از طریق مرورگر بارگذاری و اجرا می شوند مورد استفاده قرار می گیرد.

گاهی متخصصان، مجازی سازی را به عنوان راه حل جایگزین برای کسب وکارهایی پیشنهاد می کنند که به استفاده از سرویس های تحت جاوا نیاز دارند. نصب کردن آن در یک اتومبیل مجازی آن را از محدوده سیسـتم های حیاتی آسیب پذیر دور نگاه می دارد. کاربر ان خانگی بخصوص آنهایی که روی فیس بوک وب تمرکز کرده اند ممکن است کماکان استفاده از جاوا را ترجیح دهند، ولی طرفداران HTML۵ به راه حل های دیگر آن برای در اختیار قرار دادن توابع چند رسانه ای ـ که جاوا قبلا در گسترش وب بیان نمود ه بود ـ اشاره می کنند.

در هر صورت پرسش نگه داشتن جاوا یا حذف آن به «پروفایل ریسک پذیر شما میزان حیاتی بودن آن سیستم » مربوط است. اگر عواقب سازش با جاوا جهت شما گـران تمام می شود، آن را حذف بکنید .