Java曾经是web的一个重要组成部分，但在过去几年中，它的受欢迎程度有所下降。大多数现代浏览器默认情况下都会阻止Java，大多数家庭用户不再需要安装它。

我们早就听说Java是台式计算机，尤其是Windows中最不安全的软件。但这仍然是真的吗？让我们深入了解一下。

java的历史问题

Java成为如此流行的攻击目标的主要原因是它的广泛性。因为Java是为最大的兼容性而设计的，所以它可以在许多设备上运行。除了电脑之外，Java还支持蓝光播放器、打印机、停车支付系统、彩票设备等等。它与隐秘的安全性相反：一个主要的平台为攻击提供了最好的回报。

当然，我们关心的是桌面上的Java。在这里，最糟糕的缺点是Java不会自动更新自己。与大多数其他现代程序不同，Java只要求用户在可用时安装更新。更糟糕的是，默认情况下，Java只每周检查一次更新，甚至每月检查一次。对于一个有这么多安全漏洞的应用来说，这是危险的。

许多人看到更新提示而忽略它，导致他们运行的是过时的Java版本。而且，随着新版本的定期提供，即使是那些安装了一些更新的人也可能会感到沮丧，并忽略了进一步的更新。在某些情况下，即使用户安装了新版本，也会保留安装的旧版本。这就扩大了它们易受攻击的范围。

当然，我们不能忘记Java的长期传奇，包括可怕的Ask工具栏。每次安装或更新Java时，都必须记得取消选中一个框，否则它会包含那块垃圾。虽然这不是一个漏洞，但却给用户留下了不好的印象。

现代爪哇

这就是Java过去的问题所在，但是最近呢？

2017年10月，Veracode发现[不再可用]88%的Java应用程序至少包含一个易受攻击的组件。2016年初，甲骨文宣布，甚至Java安装程序也存在漏洞。如果攻击者将具有特定名称的DLL文件放在下载文件夹中，则在运行Java安装程序时会触发感染。一般来说，由于Java的流行，你只需要访问一个被破坏的网站，这个网站利用了你过时的Java拷贝而被感染。

虽然这意味着Java远不安全，但也有好消息。2016年初，甲骨文宣布计划在JDK9中弃用Java浏览器插件（这是大多数问题的根源），该插件现已上市。现代浏览器也把Java抛在了后面。Chrome在2015年末放弃了对Java的支持，Firefox在2017年初停止了对Java的支持。微软的边缘浏览器，包括Windows10，根本不支持Java。

这意味着，如果您真的需要在浏览器中使用Java，您必须坚持使用Internet Explorer。

最大的弱点

既然Java的流行度正在下降，那么它作为最不安全的桌面软件的位置又是什么呢？

Flexera的最新数据来自2017年第1季度，数据显示，普通PC上有7.8%的程序已经到了生命的尽头。根据市场份额乘以未打补丁的用户百分比，它将十大最受关注的程序排在前十位：

1. iTunes 12.x版
2. Java 8.x版
3. VLC媒体播放器2.x
4. Adobe Reader XI 11.x版
5. Adobe Shockwave播放器12.x
6. Malwarebytes反恶意软件2.x
7. 用于PC 1.x的Kindle
8. Adobe Acrobat Reader DC 15.x版
9. U当前3.x
10. 适用于Windows 6.x的iCloud

这张单子可能会让你大吃一惊。虽然Java不是风险最大的程序，但它仍然是第二个。其他我们通常不会与安全风险联系在一起的程序，比如VLC和Malwarebytes，也占有一席之地。这说明了保持所有软件更新的重要性，而不仅仅是流行的软件。

我们可以通过查看Avast的2017年第3季度安全报告了解更多信息。它列出了用户电脑上最过时的十大程序：

1. Java 6、7和8
2. 土坯空气
3. 土坯冲击波
4. VLC媒体播放器
5. iTunes
6. 火狐
7. 7拉链
8. 温拉尔
9. 快速时间
10. Adobe Flash播放器

当你加入旧版本时，Java似乎仍然是更新最少的软件中的佼佼者。Adobe的插件也是罪魁祸首，我们看到iTunes和VLC也榜上有名。

相反，根据TechRadar的说法，Chrome在更新的应用程序中排名靠前。调查显示，88%运行Chrome的用户安装了最新版本。这说明了与Java和Adobe运行时使用的唠叨更新提示相比，静默自动更新有多么大的不同。

别忘了操作系统更新

更新的另一个重要组成部分是操作系统更新。请记住，在2017年年中，安装了自动更新的用户免受了可怕的勒索软件攻击。即使你保持像Java这样的软件是最新的，如果你不安装Windows更新，你的计算机仍然有风险。

windows10使这些自动更新变得容易，但windows7上的那些可能已经禁用了它们。而那些在windowsxp使用寿命结束近四年后仍在使用的用户正将自己置于重大风险之中。

java到底有多危险？

综上所述，我们还能说Java是台式机最大的安全风险吗？不是真的。消极的一面是，人们仍然继续运行过时的Java版本，即使他们真的不需要它。这会使他们暴露出安全漏洞。然而，由于大多数浏览器不再支持Java，它们不再像以前那样容易受到攻击。

你电脑安全性的薄弱环节来自最受欢迎的软件，你不更新。如果您有最新版本的Java，但仍然没有卸载Windows不支持的QuickTime，这将是一个很大的风险。拥有过时版本的Flash、Adobe Reader或iTunes也会让您打开攻击的大门。

我们可以从上面的数据中得知，没有自动更新的程序通常是最不安全的。例如，iTunes经常要求用户更新，这很烦人。这会导致人们忽略这些更新，而安装不安全的版本。

mac和linux呢？

上面我们重点讨论了Java for Windows，但值得一提的是，这对Mac和Linux用户的影响。

令人惊讶的是，虽然苹果不允许Safari默认运行插件，但浏览器仍然支持Java和Silverlight等老插件。除非出于特定原因需要，否则应该在Mac上卸载Java，但Java并没有像在Windows上那样给Mac用户带来太多问题。最近，macOS上的大多数安全漏洞都是由于苹果自己的疏忽。

Linux也没有发现任何独特的Java漏洞。如果您需要在Linux上支持Java的浏览器，可以尝试Firefox的ESR（ExtendedSupportRelease）版本。Firefox为业务环境提供了这个版本；它提供了最新的安全更新，但要等更长的时间才能推出功能更新。当前版本52支持Java和其他遗留插件，将在2018年第二季度推出。

无插件的未来

好消息是你不需要再安装这些潜在危险和恼人的插件了。很少有网站使用Java，人们安装Java的主要程序Minecraft现在包括一个安全的Java捆绑版本。其他插件也不是必需的。微软几年前就否决了Silverlight，你很难找到一个包含Shockwave内容的网站。

Flash是唯一的例外。由于它的流行，大多数浏览器仍然支持它，但Adobe将在2020年淘汰它。在此之前，请注意确保你的电脑上更新Flash。Chrome会自动更新，所以你甚至可能不再安装它（这很好）。

所以简而言之：Java仍然不安全，但由于浏览器禁用了它，所以风险较小。您应该卸载不需要的程序（包括旧插件），保持计算机上的软件更新，并应用操作系统更新。如果你这样做，你就会富裕起来。

图片来源：avemario/Depositphotos