image

Consumentenbond adviseert om Java te verwijderen

maandag 20 januari 2014, 16:14 door Redactie, 40 reacties

In de Digitaalgids van januari geeft de Consumentenbond verschillende tips voor veilig computergebruik, waaronder het verwijderen van Java. Volgens de Bond is het gebruik van Java-exploits op het moment één van de populairste manieren om computers over te nemen.

Ook Cisco stelde in een recent rapport nog dat 91% van de aanvallen in 2013 via Java liep. Volgens cijfers van Oracle zelf draait 97% van de bedrijfscomputers Java en is het op 89% van de computers in de Verenigde Staten geïnstalleerd. Vanwege het grote aantal aanvallen via Java adviseert de Consumentenbond om Java te verwijderen of te deactiveren.

"Java staat nog steeds op veel pc's, ook al wordt het nauwelijks meer gebruikt. Het beste is daarom om Java helmaal van uw pc te verwijderen", aldus de Consumentenbond. In totaal worden er 7 gouden regels voor veilig computergebruik gegeven, waarbij er een apart punt voor Java is gereserveerd.

Browser

De overige regels gaan over het updaten van software, het gebruik van veilige wachtwoorden en het gebruik van een virusscanner. Ook wordt het beveiligen van de browser besproken, alsmede te gebruiken browser. Google Chrome en Mozilla Firefox zijn allebei prima keuzes, terwijl Internet Explorer niet de voorkeur van de Consumentenbond krijgt.

Om de browser verder te beveiligen wordt in het geval van Firefox de plug-in NoScript aangeraden, terwijl voor Google Chrome de instelling 'Klikken om te spelen' wordt geadviseerd. Beide maatregelen zorgen ervoor dat plug-ins op websites niet automatisch worden gestart. Daarnaast wordt ook het gebruik van een advertentieblokker zoals Adblock Plus genoemd, waarmee gebruikers zich tegen besmette reclamebanners kunnen wapenen.

Image

Reacties (40)
20-01-2014, 16:20 door johanw
Java kan niet zoveel kwaad, zolang de browser plugin maar niet actief is. En je bij de updates er voor zorgt om de door Oracle gepushte Ask.com spyware uit te vinken.
20-01-2014, 16:43 door [Account Verwijderd] - Bijgewerkt: 20-01-2014, 16:46
[Verwijderd]
20-01-2014, 17:10 door Anoniem
Internet bankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.
20-01-2014, 17:19 door Anoniem
Ja als je Java niet up to date hebt,dan heb je een grotere kans op aanvallen.
Voor de meeste websites op internet heb je gewoon de plugins ervoor nodig,dus ontkom je niet aan Java.
20-01-2014, 17:23 door [Account Verwijderd]
[Verwijderd]
20-01-2014, 17:46 door Anoniem
Tja, de Consumentenbond.... Vriendinnetje van mij werkte daar ooit, sindsdien neem ik de testen met een flinke korrel zout.
Maar ja, dat is hetzelfde als de keuken van de afhaal Chinees: als je weet hoe het daar aan toe gaat, haal je het ook nooit meer.
20-01-2014, 17:56 door Anoniem
Door johanw: Java kan niet zoveel kwaad, zolang de browser plugin maar niet actief is. En je bij de updates er voor zorgt om de door Oracle gepushte Ask.com spyware uit te vinken.

Oh? Zou je dat nader willen toelichten voor mij? Daar heb ik namelijk twijfels bij.

Wat gebeurt er als ? :

-Ik via een drive by download bijvoorbeeld een malafide .jar file binnen krijg dat al dan niet vermomd is als iets anders (op een afbeelding lijkend of pdf).
Mijn browser dat file automatisch wil openen en daarvoor gebruik maakt van verder op het systeem aanwezige Java functionaliteit om het gestarte proces uit te voeren (of een .jnlp file, of,..)?
Of kan deze route niet?

- Ik een malafide .jar file heb gedownload of gekregen via een email dat zich voordoet als een ander file (met gebruik van niet ingeschakelde extensieweergave bijvoorbeeld) en ik dat aanklik?
Kan het zijn dat er dan kwalijke Java processen in gang gezet worden die 'wat minder passen' bij mijn idee van computerveiligheid?

De focus op het gevaar van de browserplugin is goed maar mijns inziens ook kwalijk omdat het geen aandacht laat voor kwalijke mogelijke andere routes met gebruik van Java functionaliteit op je computer die wellicht ook besmetting kunnen opleveren.

Bredere focus misschien gewenst
- Liever Java webbrowser plugin uit
- Liever algemene Java functionaliteit uit
- Nog liever als je het kan missen is geen Java op je computer.
20-01-2014, 18:38 door Anoniem
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.

Nou... Ik heb ING, geen Java, maar kan prima internetbankieren.
20-01-2014, 18:41 door Anoniem
Als je van de consumentenbond afhankelijk bent voor security-advies voor je windows-bakkie, is het inderdaad wel verstandig om java er af te gooien ;]
20-01-2014, 18:56 door schele
In ander nieuws: "Consumentenbond adviseert browsers te verwijderen om infectie via surfen te voorkomen"
20-01-2014, 19:00 door waaromdan
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.

Dan doe je toch echt iets verkeerd want ik kan gewoon internetbankieren zonder dat Java is geïnstalleerd en zonder de Java plug-ins.

Door Anoniem:Voor de meeste websites op internet heb je gewoon de plugins ervoor nodig,dus ontkom je niet aan Java.

Onjuist.
20-01-2014, 19:32 door [Account Verwijderd]
[Verwijderd]
20-01-2014, 20:02 door Anoniem
Mensen begrijpen nog steeds niets van Javascript en Java. Javascript zit in alle browsers deze kan je gewoon aan laten (word aanbevolen). Het programma Java is heel iets anders. Dit is juist de boosdoener. Deze zorgt dat je systeem stukken minder veilig is. Ik adviseer bij veel vrienden en kennissen deze van het systeem te halen ook omdat je deze zelden nodig heb.

De banken gebruiken in het algemeen Javascript wat dus in alle browsers zit.
20-01-2014, 20:03 door Briolet - Bijgewerkt: 20-01-2014, 20:04
Door waaromdan:
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.

Dan doe je toch echt iets verkeerd want ik kan gewoon internetbankieren zonder dat Java is geïnstalleerd en zonder de Java plug-ins..

Bij de ABN-Amro heb je in elk geval Java nodig om er alles mee te kunnen doen. Geld overmaken gaat zonder Java, maar zodra je bij de aandelenhandel komt, wil hij dat je Java geïnstalleerd hebt. IB geeft zelfs de download-link voor jouw systeem als je geen Java geïnstalleerd hebt.

Het gebruik van Java is ook veiliger geworden doordat browsers het standaard blokkeren en je het per vertrouwde site kunt activeren. Dus het advies van de consumentenbond komt een beetje als mosterd na de maaltijd.
20-01-2014, 20:03 door Anoniem
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.
Klinkklare onzin.
20-01-2014, 20:06 door Anoniem
Door Krakatau:
Door Anoniem:
Door johanw: Java kan niet zoveel kwaad, zolang de browser plugin maar niet actief is.
(.. .. ..).
(.. .. ..)
De focus op het gevaar van de browserplugin is goed maar mijns inziens ook kwalijk omdat het geen aandacht laat voor kwalijke mogelijke andere routes met gebruik van Java functionaliteit op je computer die wellicht ook besmetting kunnen opleveren.

Bredere focus misschien gewenst
- Liever Java webbrowser plugin uit
- Liever algemene Java functionaliteit uit
- Nog liever als je het kan missen is geen Java op je computer.

Als je gaat klikken op gedownloade dingen die je niet kent dan is Java de minste van je zorgen. Dan is het veel waarschijnlijker dat je een Windows executable hebt binnengehaald die malware bevat.

Gewoon niet doen, klikken op dingen die je niet kent. En hide file extensions for known types uitvinken.

Het impliciete antwoord wat meer expliciet gemaakt :

"ja!
Ook zonder Java browserplugin is Java te misbruiken in geval van social engineering. Het is dan ook raadzaam naast het uitschakelen van Java ook andere maatregelen te nemen.

- extensieweergave activeren zodat je kan zien of het een 'executable' betreft met een werkelijke extensie als bijvoorbeeld een .jar (Java file) of bijvoorbeeld een .exe (Windows).

- open bij voorkeur bestanden die je niet vertrouwt .
Al is dat lastig want in geval van social engineering denk je juist dat het bestand te vertrouwen is.
Bijvoorbeeld doordat je denkt dat het van een vertrouwde bron afkomstig is, informatie bevat die specifiek voor jou bedoeld is, je het interessant vindt, het informatie bevat die je ook verwacht dat het bevat, etc etc etc. "

De oplossing en het probleem zijn dus breder dan de focus op de Java browser plugin alleen.

- Liever Java webbrowser plugin uit
- Liever algemene Java functionaliteit uit
- Nog liever als je het kan missen is geen Java op je computer.

.exe's werken bijvoorbeeld niet op een Mac, maar .jar files wel,
en hoe!
20-01-2014, 21:20 door Anoniem
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.

Je hoeft niet te internet bankieren.
20-01-2014, 21:42 door Anoniem
Ik gebruik al heel lang geen Java en dat bevalt goed. Als ik het MOET dan weiger ik de site. Dit geld ook voor flash.
Overigens kan ik internet bankieren met de meest basic browser die je kunt bedenken.
20-01-2014, 21:45 door Wadjinn
Ik lees nu al weer dat er iets door de consumentenbond wordt geadviseerd op de site van Security.nl
Ik had gehoopt dat Security.nl iets toe zou voegen en niet een onderzoek van CB aanhalen en daar verder niets mee doen. Dit is slappe hap aan het worden hier. Als je verder niets nuttigs weet te schrijven is dat nog geen reden om flut berichten zonder inhoud te plaatsen. Kom op, doe iets nuttigs en laat de CB voor wat het is (Niks)
20-01-2014, 23:45 door Skizmo
Door Anoniem: Ja als je Java niet up to date hebt,dan heb je een grotere kans op aanvallen.
Voor de meeste websites op internet heb je gewoon de plugins ervoor nodig,dus ontkom je niet aan Java.
Ik ken geeneen website die java gebruikt.... bedoel je niet javascript... is heel wat anders.
21-01-2014, 02:11 door Anoniem
Ja ok, mensen zeggen hier JavaScript is veilig en Java niet, maar als ik Java uitschakel dan is er toch nog de Script, en is die dan wel veilig?
21-01-2014, 07:35 door Anoniem
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.

Dat is volgens mij niet waar. In ieder geval bij ING, Rabo en ASN heb je geen Java nodig.
21-01-2014, 08:22 door [Account Verwijderd] - Bijgewerkt: 21-01-2014, 08:24
[Verwijderd]
21-01-2014, 08:22 door [Account Verwijderd]
[Verwijderd]
21-01-2014, 09:58 door Anoniem
Bij ING heeft men ingezien dat Java voor internetbankieren niet fijn is.
Dat is vervangen door Flash (oa voor beleggen).
Da's beter.
21-01-2014, 10:15 door Anoniem
Ook Cisco stelde in een recent rapport nog dat 91% van de aanvallen in 2013 via Java liep.

Grappig dan dat Cisco java blijft gebruiken. Cisco IP telefoons draaien op java, de Cisco ASDM - beheersinterface voor hun firewalls - draait op java. En java updaten, gaat niet. Dan werkt die ASDM niet meer. En het is nog maar de vraag hoe up-to-date die java versie op de Cisco telefoons is...

Ze mogen zelf eens het goede voorbeeld geven en alles in C++/C#/... programmere ipv in java. Hoe kan ik collega's overtuigen van de slechtheid van java als ik mijn firewalls beheer met een java tool??
21-01-2014, 10:53 door Anoniem
Door Anoniem: Ja ok, mensen zeggen hier JavaScript is veilig en Java niet, maar als ik Java uitschakel dan is er toch nog de Script, en is die dan wel veilig?
Java en Javascript hebben niks met elkaar te maken.
Ooit is er een domme naam gekozen en die geeft tot op vandaag verwarring.
Het was beter geweest als Sun indertijd de energie die ze staken in het aanvallen van Microsoft voor het maken van
een concurrerende Java engine hadden gestoken in het procederen tegen Mozilla wegens het pikken van hun naam.
Dan hadden we nu geen verwarring tussen Java en Javascript gehad en tevens hadden we twee concurrerende Java
engines gehad, dus waarschijnlijk veel minder beveiligingsproblemen.
21-01-2014, 13:45 door yobi
Beter zou zijn, dat fabrikanten deze software niet voor-installeren.
21-01-2014, 13:53 door Anoniem
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.

Haal Java en JavaScript niet door elkaar. 4 letters is het enige wat ze overeen hebben, verder niks.
21-01-2014, 14:40 door Anoniem
Door Anoniem: Grappig dan dat Cisco java blijft gebruiken. Cisco IP telefoons draaien op java, de Cisco ASDM - beheersinterface voor hun firewalls - draait op java. En java updaten, gaat niet. Dan werkt die ASDM niet meer. En het is nog maar de vraag hoe up-to-date die java versie op de Cisco telefoons is...

Bezoek je veel websites met die telefoon, dan? Het grootste aantal Java-aanvallen heeft te maken met de browser plugin, niet met elders draaiende JVMs.

Ze mogen zelf eens het goede voorbeeld geven en alles in C++/C#/... programmere ipv in java.

Ja hè? Want automatisch geheugenbeheer bijvoorbeeld, wil je echt niet hebben. En van Microsoft afhankelijk zijn voor je C#-stack is ook al zo'n goed idee...

Hoe kan ik collega's overtuigen van de slechtheid van java als ik mijn firewalls beheer met een java tool??

Mja, deze zin zegt, dunkt me, ook alweer genoeg.
21-01-2014, 15:43 door Anoniem
'Typo' correctie 20:06

- open bij voorkeur bestanden die je (xxx) vertrouwt .

Dus; open géén bestanden die je niet vertrouwt (logisch maar social engineers proberen nu juist jouw vertrouwen te winnen, extra oppassen dus).
21-01-2014, 16:01 door Anoniem
Door Anoniem:
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.
Klinkklare onzin.
Als in de technische vereisten van de homebanking info letterlijk staat dat je minstens Java V1.6 of hoger nodig hebt, EN als je bij het openen van de homebanking de java koffiekop ziet verschijnen, EN vaststelt dat na het verwijderen van Java de browser, bij het openen van de homebanking pagina, automatisch wordt doorgelinkt naar de Java downloadpagina waar Java 1.7 update 51 klaarstaat, EN als je vaststelt dat homebanking niet meer werkt na het verwijderen van Java ......dan besluit ik daar uit dat je wel degelijk Java nodig hebt.
Dit mag dan misschien niet bij alle banken het geval zijn, "klinkklare onzin" zoals mijn bewering hier wordt genoemd is het dus niet.
21-01-2014, 16:30 door Anoniem
Door Anoniem:Het was beter geweest als Sun indertijd de energie die ze staken in het aanvallen van Microsoft voor het maken van een concurrerende Java engine hadden gestoken in het procederen tegen Mozilla wegens het pikken van hun naam.
Heb je door dat het probleem van Sun met Microsoft was dat die de naam Java gebruikten voor iets dat, in strijd met de licentievoorwaarden voor het voeren van die naam, volgens Sun niet geheel compatibel was met de Java-testsuites? Het aanvallen van Microsoft was daarmee net zo goed procederen wegens het pikken van hun naam, niet een afgeleide naam, en ook van het bijbehorende logo. Ze hebben geschikt, dus we weten niet wie uiteindelijk gelijk zou hebben gekregen van de rechter als ze door hadden geprocedeerd. Maar het is duidelijk hoe Sun het zag, en aangezien ze altijd al behoorlijk streng waren waar het Java-compatibiliteit betrof vond ik het wel in het beeld passen dat ze daar een punt van maakten.

Dat Microsoft er net zo anaal mee omgaat als Sun werd me duidelijk toen ik jaren geleden een C#-cursus deed (onderdeel van een .NET-training) aan de hand van een boek van Microsoft Press, waarin ter inleiding van de taal een voorgeschiedenis van programmeertalen was opgetekend die invloed hadden gehad op C#. Java kwam daarin domweg niet voor. Je moet blind zijn om de invloed van Java op C# (en de hele .NET-omgeving) niet te zien. En ook buiten dat boek is me in die tijd opgevallen dat Microsoft regelmatig deed alsof Java geen invloed heeft gehad op .NET. Ik geloof er niets van.

Dat neemt allemaal niet weg dat het inderdaad een enorm ongelukkige keuze was om JavaScript naar Java te noemen. Dat is niet door Mozilla gedaan overigens maar door Netscape. Netscape heeft weliswaar Mozilla opgericht, maar het is zelf overgenomen door AOL en utieindelijk opgeheven, da's niet helemaal hetzelfde dus.
21-01-2014, 21:59 door cyberpunk
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.

Wat een onzin! Zowel Rabobank.be als Belfius werken perfect zonder Java!
22-01-2014, 00:18 door Spiff has left the building - Bijgewerkt: 22-01-2014, 00:21
Door Anoniem, ma.20-01, 17:10 uur:
Internetbankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.
Door Anoniem, ma.20-01, 21:20 uur:
Je hoeft niet te internetbankieren.
Door Peter V., di.21-01, 08:22 uur:
Let maar op: binnen afzienbare tijd zijn de overschrijvingskaarten en acceptgiro's verleden tijd. Bij sommigen zijn deze ontwikkelingen sinds vorig jaar al doorgevoerd.
http://www.essent.nl/content/particulier/klantenservice/rekening_en_betalen/Betaalwijze/vragen_acceptgiro.html

Op de opmerking van Anoniem, ma.20-01, 17:10 uur, hoef ik niet te reageren, dat is door anderen al ruimschoots gedaan.
Maar betreffend dat wat Peter V. stelde:

Er bestaat nogal een verschil tussen acceptgiro's en overschrijvingskaarten.
Acceptgiro's zijn niet noodzakelijk voor 'papieren bankieren'. Je kunt voor betalingen overschrijvingskaarten gebruiken, of als je dat geen bezwaar vindt een machtiging tot automatische incasso (wel zo handig voor maandelijks terugkomende betalingen zoals energie, water, huur, etc).

Het voorbeeld dat Peter noemde, Essent, daarvoor geldt inderdaad dat betaling door middel van acceptgiro niet meer mogelijk is, zie ik, maar wél is gewoon nog betaling door middel van overschrijvingskaarten en automatische incasso mogelijk (en internetbankieren).
Niets wijst erop dat Essent ook betaling door middel van overschrijvingskaarten zou opdoeken.

En verder, Peter, wat bedoelde je nog meer met "Bij sommigen"?
Anderen dan Essent, die niet alleen de mogelijkheid te betalen per acceptgiro stoppen, maar zelfs de mogelijkheid te betalen door middel van overschrijvingskaarten? Zo ja, welke bedrijven dan?

Je opmerking betreffend overschrijvingskaarten smaakt me zonder nadere onderbouwing veel teveel naar FUD.
22-01-2014, 07:15 door Anoniem
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.

dat is onzin, geen van mijn banken heeft java of flash nodig. maw mijn pc heeft geen java of flash erop staan.

als je bank java of flash als internet bankier software/plugin gebruikt neem een andere bank
22-01-2014, 07:18 door Anoniem
Door waaromdan:
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.

Dan doe je toch echt iets verkeerd want ik kan gewoon internetbankieren zonder dat Java is geïnstalleerd en zonder de Java plug-ins.

Door Anoniem:Voor de meeste websites op internet heb je gewoon de plugins ervoor nodig,dus ontkom je niet aan Java.

Onjuist.

voor de meeste websites heb je zelfs weinig javascript nodig.
als je requestpolicy & noscript gebruikt (firefox addons) dan kom je er heel snel achter dat je ongeveer 10% van de includes nodig hebt en dus 90% overbodig is (wat toch een behoorlijk aanvals oppervlak erbij is, terwijl je het niet nodig hebt)
22-01-2014, 08:01 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Internet bankieren zonder Java op de PC is onmogelijk.
De consumentenbond geeft dus een raad die je niet kan opvolgen.
Klinkklare onzin.
<<knip>> Dit mag dan misschien niet bij alle banken het geval zijn, "klinkklare onzin" zoals mijn bewering hier wordt genoemd is het dus niet.

Wel, want er zijn dus duidelijke banken waar internetbankieren prima zonder java kan - jouw bewering is zo generiek dat het volgens jou nergens kan en dat is dus inderdaad klinkklare onzin.
26-01-2014, 18:24 door [Account Verwijderd] - Bijgewerkt: 26-01-2014, 18:34
[Verwijderd]
26-01-2014, 18:33 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.