ปัญหาความปลอดภัยที่เกิดจากช่องโหว่ของ Java กลายเป็นเรื่องซีเรียส เราเห็นข่าวการโจมตีด้วยช่องโหว่ของ Java เป็นวงกว้าง และขนาดบริษัทไอทีรายใหญ่ทั้ง Twitter และ Facebook ก็ยังไม่รอด ต่างก็โดนแฮ็กเพราะ Java ในเครื่องของพนักงาน
บทความนี้จึงเขียนขึ้นเพื่อสอนวิธีป้องกันตัวจากการโจมตีผ่านช่องโหว่ของ Java ที่อาจติดตั้งอยู่ในเครื่องของผู้อ่านอยู่แล้ว โดยเน้นผู้อ่านกลุ่ม end-user ที่อาจไม่ทราบข้อมูลเรื่อง Java มากนัก
ปัญหาคืออะไรกันแน่
นิยามของคำว่า Java นั้นกว้างมาก แต่ในแง่การใช้งานคงหนีไม่พ้นตัวโปรแกรม Java Runtime Environment (ตัวย่อ JRE หรือที่หลังๆ ออราเคิลพยายามใช้คำว่า Java SE แทน) ที่ติดตั้งอยู่ในคอมพิวเตอร์ของผู้ใช้ เพื่อให้คอมพิวเตอร์เครื่องนั้นรันโปรแกรมที่เขียนด้วย Java ได้
อย่างไรก็ตาม โปรแกรมที่เขียนด้วย Java สามารถแบ่งได้เป็น 2 ประเภทใหญ่ๆ
- โปรแกรมที่ทำงานบนเดสก์ท็อป (ลักษณะเดียวกับโปรแกรมทั่วไป) เรียกว่า Java application
- โปรแกรมที่ทำงานบนเว็บเบราว์เซอร์ (แบบเดียวกับ Flash) เรียกว่า Java applet
จุดที่เป็นปัญหาเรื่องความปลอดภัยคือ Java applet เนื่องจากมันไม่ต้องผ่านกระบวนการติดตั้ง (install) ตัวเองลงในเครื่องของผู้ใช้ เพียงแค่เอาเบราว์เซอร์ที่ติดตั้ง Java plug-in ไปเปิดเว็บที่ฝัง applet เอาไว้ก็ใช้งานได้แล้ว
ตามปกติแล้ว applet ทำงานได้เฉพาะบนเว็บเบราว์เซอร์เท่านั้น ระบบความปลอดภัยของ Java จะกรองไว้ไม่ให้ทำอะไรได้มากกว่านั้น (และเมื่อปิดหน้านั้นทิ้ง โปรแกรม applet ก็จะหายไปด้วย) แต่แฮ็กเกอร์ใช้ช่องโหว่ของ Java plug-in ช่วยให้ applet ประสงค์ร้ายมีอำนาจติดตั้งตัวเองลงในเครื่องได้ด้วย โดยที่ผู้ใช้ไม่รู้ตัว
วิธีการป้องกันตัวจึงเป็นการ "ปิดการทำงาน" ของ Java ในส่วนที่ 2 เฉพาะที่ทำงานบนเบราว์เซอร์ เพื่อป้องกันการติดมัลแวร์หรือโดนแฮ็กขณะที่เราท่องเน็ตอยู่นั่นเอง (หรือถ้าใครจะลบ Java ออกไปจากเครื่องเลย ก็สามารถทำได้ผ่านวิธี Uninstall ตามปกติ)
หมายเหตุ: Java เป็นคนละอย่างกับ JavaScript ไม่มีอะไรเหมือนกันเลยยกเว้นชื่อ
ตรวจสอบเวอร์ชันของ Java
อย่างแรกสุดที่ต้องทำคือ ตรวจสอบว่า Java ในเครื่องของเราเป็นเวอร์ชันล่าสุด (ที่ปิดช่องโหว่ต่างๆ ไปแล้ว) หรือไม่ โดยดูจากโปรแกรม Java Control Panel ที่ลงอยู่ในเครื่องของเราแล้ว
วิธีการเรียก Java Control Panel ต่างกันไปในแต่ละระบบปฏิบัติการ ดังนี้
- Windows XP อยู่ใน Control Panel เป็นไอคอนชื่อ Java
- Windows Vista/7 อยู่ใน Control Panel เป็นไอคอนชื่อ Java Control Panel หรือ Java
- Windows 8 สามารถค้นหาได้จาก Start Screen หรือจะเรียกผ่าน Control Panel ก็ได้
- Mac OS X อยู่ใน System Preferences
เมื่อเรียก Java Control Panel ขึ้นมาได้แล้ว จะเห็นหน้าจอดังภาพ
กดที่ปุ่ม About เพื่อดูเลขเวอร์ชันของ Java ที่ติดตั้งอยู่ในเครื่อง
ขณะที่เขียนบทความนี้ Java เวอร์ชันล่าสุดคือ 7u13 หรือ Java 7 Update 13 (สามารถตรวจสอบเลขเวอร์ชันล่าสุดได้จากเว็บไซต์ Java) ถ้าเวอร์ชันของเราเก่ากว่านี้ ให้ดาวน์โหลดเวอร์ชันล่าสุดมาติดตั้งก่อน
ปิดการทำงานของ Java บนเว็บเบราว์เซอร์ผ่าน Java Control Panel
เมื่อ Java ของเราเป็นเวอร์ชันล่าสุดแล้ว ให้เข้าไปที่ Java Control Panel อีกครั้ง แล้วเลือกแท็บ Security ดังภาพ
เอาเครื่องหมายถูกตรงคำว่า Enable Java content in the browser (จุดที่ล้อมไว้ด้วยสีแดง) ออก แล้วกด OK/Apply เป็นอันเสร็จพิธี (วินโดวส์รุ่นใหม่ๆ อาจต้องกดตกลงผ่าน UAC ด้วยอีกชั้นหนึ่ง)
ปิดการทำงานของเบราว์เซอร์ทุกตัว แล้วเปิดเว็บเบราว์เซอร์ใหม่ เข้าไปยังหน้า Verify Java Version เพื่อทดสอบว่าเบราว์เซอร์ของเรายังใช้งาน Java ได้หรือไม่ ถ้าพบกับคำว่า "We are unable to verify if Java is currently installed and enabled in your browser." (ตามภาพด้านล่าง) แปลว่าเบราว์เซอร์รัน Java ไม่ได้แล้ว ถือว่ากระบวนการปิด Java เสร็จสมบูรณ์
หมายเหตุ: วิธีการนี้ใช้ได้กับ Java 7u10 ขึ้นไปเท่านั้น
ข้อมูลอ้างอิงจาก Java.com: How do I disable Java in my web browser?
[ทางเลือก] ปิดการทำงานของ Java ในเบราว์เซอร์แต่ละตัว
ในกรณีที่ Java ไม่ได้เป็นเวอร์ชันล่าสุด และไม่ต้องการอัพเดต (ซึ่งไม่แนะนำ) เราสามารถสั่งปิด Java ได้เช่นกัน แต่จะลำบากหน่อยเพราะต้องไปไล่ปิดการทำงานของ Java plug-in ในเบราว์เซอร์แต่ละตัวเอง
Firefox
- กดปุ่ม Firefox มุมบนซ้าย (ถ้าเป็นวินโดวส์) เลือก Add-ons
- เลือกแท็บ Plugins
- ถ้ามี Java อยู่ให้สั่ง Disable (ถ้าปุ่มเขียนว่า Enable แปลว่ามันปิดอยู่แล้ว ไม่ต้องทำอะไร)
ข้อมูลอ้างอิง: Mozilla Support
Chrome
- พิมพ์ chrome://plugins ในช่อง URL
- ถ้ามี Java อยู่ให้สั่ง Disable
ข้อมูลอ้างอิง: Chrome Help
Internet Explorer
- คลิกที่ปุ่มรูปเฟืองของ IE (อยู่ด้านขวาสุดใน IE รุ่นใหม่ๆ)
- เลือก Manage add-ons
- หมวด Toolbars and Extensions
- สั่งปิดการทำงานของ Java(tm) Plug-in ทุกตัว
Safari
- เข้าไปยังหน้า Preferences ของ Safari (ผ่านเมนู Safari)
- เลือกแท็บ Security
- เอาตัวเลือก Enable Java ออก
ข้อมูลอ้างอิง: Apple Support
Opera
- พิมพ์ opera:plugins ในช่อง URL
- สั่ง Disable รายการที่เกี่ยวข้องกับ Java
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
น่าจะมี Tools เน๊อะ คลิกเดียวจบ อิอิ
(ไม่ใช่อะไรหรอก มีหลายเบราว์เซอร์เกิน อิอิ)
ทำตามวิธีด้านบนก็ปิดหมดทุกเบราเซอร์อยู่แล้วนะครับ ลองอ่านดูดีๆ ครับ
ขอบคุณสำหรับบทความดีๆครับ ผม่ไม่ค่อยรู้เรื่อง Java เท่าไหร่ พออ่านบทความนี้เข้าใจเรื่อง Java มากขึ้นเยอะ ตอนแรกที่ได้ยินข่าวรูรั่วบ่อยๆ ผมใช้วิธีบ้านๆ uninstall ออกจากเครื่องไปเลย หลังจากนั้นก็ไม่เคยติดตั้งอีก(เพราะเครื่องผมไม่มีโปรแกรมไหนจำเป็นต้องรัน Java เลยไม่รู้สึกเดือดร้อน)
แต่พอมาอ่านบทความนี้ เพิ่งมารู้ว่าตัวที่มีปัญหามันไม่ได้เป็น Java Application (ที่ลบไป) แต่เป็น Java Applet มันอยู่ที่ Browser ของเราตลอดเวลา Y_Y
Firefox ในอุ๊ไม่มี Java รอดตัวไป
ปัจจุบันนี้ firefox และ midori ผม ใช้ชาเย็นแทน oracle java ครับ
แล้วชาเย็นนี่ปลอดภัยรึเปล่าครับ รึว่าโดนเหมือนกัน เพราะมันก็จำลอง VM Java เหมือนกันอ่ะครับ
ชาเย็นถือว่าปลอดภัยครับ เพราะทาง redhat คุมเองครับ
อะไรคือ ชาเย็นเหรอครับ
[Blog ZeroEngine] [@ZeroEngines]
http://en.wikipedia.org/wiki/IcedTea
ทำไม Redhat ไม่ยอมทำ Update ให้ java บ้าง?
Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project
เพราะกลัวไปผัวพันกับ bug และเสี่ยงทำให้ redhat มีแต่ชื่อเสียอย่าง oracle ครับ
ลักษระ => ลักษณะ
ตรงนี้ตกคำว่า ออก หรือเปล่าครับ
ผมตั้ง Security Level เป็น High ซึ่งเวลา Browser รัน Applet มันจะขึ้นถามเราว่าให้รันไหม ผมไม่ทราบว่าการตั้งค่าแบบนี้ยังมีช่องโหว่ไหมครับ เพราะยังต้องใช้งาน Java อยู่ครับ
ทำไม Chrome v.24 ใน OS X ผมบอก ในหน้า Verify Java Version
คือรันไม่ได้ ก็ปลอดภัยเลยเปล่าครับ
เพราะ Chrome ในแม็กมัน 32 bit ครับ มันใช้ได้แต่ safari
หากจาว่ายังคงมีปัญหาแบบนี้อยู่มีโอกาสไหมที่หลายๆ องค์กรจะเปลี่ยนมาใช้ภาษาอื่นหรือ VM ตัวอื่นแทน
ดีกว่าใช้อูบุนตู
ตอนนี้ไป Update 15 แล้ว
แง่ววว ที่ผ่านมาไปปิด java script มาตลอด แสดงว่าไม่ได้ปลอดภัยเลยสิเนี่ย แถมชีวิตยุ่งยากขึ้นมากๆๆๆๆเลย - -"
TopUp2Rich สร้างรายได้วันละ 4,200 บาท จากมือถือของคุณ
TopUp2Rich ล้ำหน้าด้วยเทคโนโลยีที่จะเปลี่ยนมือถือของคุณให้กลายเป็นเครื่องจักรทำเงิน
วิธีรับเงินง่าย ๆ
เพียงเปลี่ยน วิธีการเติมเงินมือถือ ของคุณ
มาใช้บริการกับ Topup2Rich
โดยเติมผ่าน โทรศัพท์มือถือทุกรุ่น, iPad, Notebook
หรือ Computer จะเติมเงินให้คุณเอง หรือเติมให้ใคร..ก็ได้
ใช้ได้กับมือถือทุกรุ่น ทุกยี่ห้อ ทุกระบบ ขอเพียงส่ง SMS ได้ก็พอ
เติมเงินมือถือ สะดวก ทุกที่ ทุกเวลา
เพราะคุณไม่ต้องเดินทาง 7-11 ไม่ต้องเดินหาตู้ ไม่ต้องเสียเวลาขูดบัตร
เพียงเติมเงินมือถือ เดือนละ 100 บาทขึ้นไป
สามารถสร้างรายได้หลักหมื่นหลักแสนต่อเดือน
สุดยอดแผนการตลาดของ Topup2rich แบ่งผลกำไรการเติมเงินทั้งหมดให้นักธุรกิจ
และรายได้การบริหารทีมอีกวันละ 4200 บาท
ธุรกิจของคนไทย ถูกกฏหมาย 100%
ดูรายละเอียดและวิธีการสมัครได้ที่
http://www.topup2rich.org/?id=kengpk
(หากกรอกข้อมูลไม่ได้ให้ใช้ Internet Explorer เปิดเว็บครับ)
ติดต่อสอบถามได้ที่ : 080-4697540 (คุณเก่ง ภายุภัค ไพศาลธนาทรัพย์)
อีเมล์ & MSN : topup2rich1@hotmail.com
ติดต่อได้ตลอด 24 ช.ม. ครับ