درگاهی جهت افراد سودجو

آموزش جاوا

آموزش برنامه نویسی جاوا



می بایست در مصرف از جاوا تجدیدنظر کرد؟

زمان آن فرا نرسیده است که جاوا بازبینی یابد یا استفاده از آن را متوقف کنیم؟

جاوا، زبان برنامـه نویسی که جهت جذابیت تعلت ی تر کردن وب طراحی شده به یکی از ضعیف ترین رابطه های رایانه درمقابل تهدیدهای خارجی تبدیل شده است. آسیب پذیری های اخیر جاوا را در نظر بگیرید که بتازگی بوسیله بدافزارها مورد سومصرف قرار گرفته است: وقتی که اوراکل، سازنده جاوا، یک به روزرسانی اضطراری برای استوار کردن پروگرام ارائه کرد، تحلیل های امنیتی گزارش دادند که حتی کدهای معمولی هم نقاط آسیب پذیری بسیار زیاد ی را در دارند.

ولی آخرین موارد امنیتی جاوا کاملا منحصر به فرد است؛ به گونه ای که بسیاری از مجموعه های تامین امنیت، مقصر حمله های اخیر بدافزارها را خود جاوا می دانند و اعلام کرده اند که دست کم ۹۰ درصد فرد ان، دیگر به جاوا احتیاج نخواهند داشت. در واقع زیاد ی از کاربر ان فقط زمانی متوجه می شوند که جاوا روی سیستم آنها نصب شده است که به روزرسانی احتیاج پیدا می کنند.

چنانچه شما از رایانه شخصی استفاده می بکنید ، ی که از شما خواسته می شود به طور مستمر ویندوز را به روزرسانی بکنید ، حتمـا احساس آزاردهنده ای به شما دست می دهد.

طی سال های متمادی شرکت اپل مایکروسافت سیسـتم های حفاظتی خود را قوی تر کرده اند. سیسـتم علت مک نسبتا در مساوی آسیب ها ایمن شده و اپل مدت هاست که دیگر دستگاه های را با جاوای از پیش نصب شده ارائه نمی نماید . مایکروسافت نیز بعد از حمله کرم Conficker در اواخر سال ۲۰۰۸ یک نسخه کاملا امن برای پیشگیری از آسیب های سطح سیستم علت تولید کرد که بعد از آن دیگر هیچ از کرم ها نتوانستند به سیـستم های ویندوزی نفوذ کنند.

موزیلا و اوپرا نیز شبیه مایکروسافت، دهه قدیم را برای مقاوم کردن مرورگرهایشان درمقابل تهاجمات به روزرسانی های پی درپی گذراندند. به عنوان مثال موزیلا ۲۸ اگوست، ۲۲۳۷ خطا (که اما تمام آنها خطاهای امنیتی نبودند) را فهرست کرد که در ورژن ۱۵ مرورگر فایرفاکس به طور کامل برطرف شد.

حتی اگر امنیت سیـستم علت و مرورگر شما بوسیله مجموعه های معتبر تامین شده باشد، همـواره افرادی پیدا می شوند که نقاط ضعف را یافته و از آنها سومصرف می کنند.

رابطه ضعیف در زنجیره امنیت

امروزه که نفوذ به سیستم علت و مرورگرها سخت تر شده است، سارقان اطلاعات، تاکتیک خود را عوض کرده هدف را روی دو رابطه ضعیف باقیمانده قرار داده اند: افزونه هایی که از طرف افراد بیرونی در مرورگر نصب می شود و خود فرد ان. در حالی که افزونه ها ارتقا می یابند، جاوا به عنوان یک وسیله جهت تهاجم های اتوماتیک ـ که اکثرا ٌ به وسیله کیت های فعال سازی ارزان قیمت در فروشگاه های سیاه به فروش می رسند ـ مورد سومصرف قرار می گیرد. وبسایت فوربس ماه مارس فهرستی منتشر کرد که در آن نشان داده شده بود چه خریداران نابکاری برای دسترسی بیشتر به نقاط آسیب پذیر هزینه پرداخت می کنند. پس پرداخت انعام چهل تا صد هزار دلار به کدنویسان برای ایجاد انگیزه کار کردن تمام وقت، منصفانه به نظر می رسد!

بخشی که باعث می شود این گونه افراد جذب جاوا شوند، آن در تمام جاست. جاوا برخلاف دیگر افزونه های یک مرورگر در نزدیک ترین قسمت به سیسـتم های علت اجرا می شود و در واقع جهت بدافزارها بسیار زیاد به صرفه خواهد بود. نویسندگان بدافزارها خواهان بیشترین بازگشت سرمایه از سرمایه گذاری های خود در گسترش بدافزارها هستند این یعنی هدف بدافزارها روی وسیع ترین بازار ممکن قرار دارد.

اما اگر چه شرکـت اوراکل در مقابل این مساله موضع گرفته است، ولی جاوا این بازگشت سرمایه را جهت آنها انجام می دهد. زمان ی که شرکـت سان در ۲۰۰۹ توسط اوراکل خریداری شد، جاوا به این شرکـت رسید.

وارد کردن و نصب پچ های جاوا

درست است که اوراکل (و قبل از آن سان) به روزرسانی هایی جهت اصلاح موارد امنیتی جاوا ارائه می نماید ، ولی نصب کردن آن به روزرسانی ها در رایانه ها دستگاه های میلیون ها فرد نهایی همچنان به عنوان چالش بیان است.

شرکـت های امنیتی که برنامـه های نصب شده بر رایانه های شخصی فرد ان را دنبال می کنند، به صورت فصلی آسیب پذیری های جاوا سرعت تثبیت آنها را گزارش می دهند. گزارش های امنیتی سه ماهه چهارم این کمپانی ها نشان می دهد که سال ۲۰۱۱، اوراکل پنج آگهی رسمی مشاوره ای انتشار کرد که به دلیل ۵۸ آسیب موجود در جاوا به فرد ان هشدار می داد. پچ ها یا به روزرسانی ها زمان انتشار گزارش ها تنها در سه مورد از پنچ مورد در دسترس بودند. سال ۲۰۱۱ حدود ۷۸ درصد از بدافزارها به پروگرام های فرد دی آسیب پذیر یورش بردند؛ برنامـه هایی شبیه جاوا، ادوبی فلش و آکروبات.

وجود نرم افزار ی که روی یک رایانه نصب شده و به اینترنت متصل می شود، آن در ورژن های قدیمی و آسیب پذیر، با کیفیت ترین فرصت را برای افراد سودجو فراهم می آورد.

در بسیار زیاد ی از موارد ، قابلیت به روزرسانی اتوماتیک جاوا ببهتر ی کار نکرده و کاربر ان عادی را از یاد می برد. حتی در ویندوز ۷ نسخه ۶۴ بیتی، جاوا دیگر افزونه ها مثل فلش، در جداسازی ورژن های ۳۲ بیتی از ۶۴ بیتی ناتوان است؛ به این مفهوم که حتی چنانچه پچ نسخه ۶۴ بیتی جاوا را نصب کرده باشید، تا زمانی که یک ورژن ۳۲ بیتی آسیب پذیر جاوا هنوز در سیـستم وجود داشته باشد، سیسـتم کاملا ایمنی نخواهید داشت.

همان گونه که قبلا اشاره شد جاوا دیگر به عنوان بخش نصب شده سیـستم های علت معمول وجود ندارد؛ به صورت پیش فرض در لینوکس وجود ندارد نسخه های اخیر ویندوز هم آن را در خود جای نداده است. در حال حاضر چند هفته بعد از حمله بدافزارها به OSX معین شده است که اپل به روزرسانی های مختص به خود را جهت جاوا منتشر می نماید . این به مفهوم آن است که کاربر ان مک جهت هفته ها یا ماه ها به آخرین نسخه جاوا دسترسی نخواهند داشت.

زنگ تهدید برای جاوا

تمام این موارد سوالی را جهت هر کاربر نهایی به وجود می آورد: آیا باید به جای به روزرسانی، جاوا را بکلی رها یا حتی حذف کرد؟

به هر ترتیب جاوا فریم ورک را تحت سیـستم علت android اجرا می نماید و به وسیله مجموعه هایی نظیر کیتریکس جهت انتشار سرویس هایی مانند GoToMeeting، GoToWebinar و GoToMyPC که از طریق مرورگر بارگذاری و اجرا می شوند مورد استفاده قرار می گیرد.

گاهی متخصصان، مجازی سازی را به عنوان راه حل جایگزین برای کسب وکارهایی پیشنهاد می کنند که به استفاده از سرویس های تحت جاوا نیاز دارند. نصب کردن آن در اتومبیل مجازی آن را از محدوده سیسـتم های حیاتی و آسیب پذیر دور نگاه می دارد. فرد ان خانگی بخصوص آنهایی که روی فیس بوک و وب تمرکز کرده اند شاید کماکان مصرف از جاوا را ترجیح دهند، ولی طرفداران HTML۵ به راه حل های دیگر آن برای در اختیار قرار دادن توابع چند رسانه ای ـ که جاوا قبلا در گسترش وب بیان کرد ه بود ـ اشاره می کنند.

در هر صورت پرسش نگه داشتن جاوا یا حذف آن به «پروفایل ریسک پذیر شما میزان حیاتی بودن آن سیستم » مربوط است. چنانچه عواقب سازش با جاوا برای شما پرهزینه تمام می شود، آن را حذف بکنید .