Maak een bestandje met de naam deployment.properties in de map %windir%\Sun\Java\Deployment
en plaats daarin het volgende:

deployment.webjava.enabled=false
deployment.webjava.enabled.locked

Je kunt hem ook op very secure zetten als volgt:

deployment.security.level=VERY_HIGH
deployment.security.level.locked
deployment.webjava.enabled=true
deployment.webjava.enabled.locked

Als je hem zo instelt dan blijven deze instellingen bewaard wat je ook als gebruiker doet.

@ Anoniem 13:09 uur,

Jouw aanpak is niet iets dat gebruikers met zeer beperkte computervaardigheden kan worden aanraden.

Het uitschakelen van de Java browser-plugin via het Java Control Panel zoals hier vermeld
http://www.java.com/nl/download/help/disable_browser.xml
dat zal echter wel door vrijwel elke gebruiker te begrijpen en uit te voeren zijn,
en wanneer dat dan kan voorkomen dat de Java browser-plugin weer automatisch inschakelt na elke Java-update, dan betekent dat mijns inziens een grote verbetering.

En voor alle duidelijkheid:
De vraag is niet
"Hoe kan voorkomen worden dat de Java browser-plugin weer automatisch inschakelt na elke Java-update?"
Maar de vraag is concreet deze:
"Kan het uitschakelen van de Java browser-plugin via het Java Control Panel voorkomen dat de Java browser-plugin weer automatisch inschakelt na elke Java-update?"

En daar lijkt het op, gezien de bevinding van Anoniem, di.19-2, 21:45 uur, in de thread
https://www.security.nl/artikel/45203/1/Facebook_gehackt_via_Java_zero-day-lek.html
maar bevestiging door meer gebruikers is gewenst.


[latere wijziging: zin neergezet in bold]

Ook al heb je de laatste Sun versie met de laatste patches geinstalleerd:
Java Version 1.6.0_41 from Sun Microsystems Inc.
dan nog vraagt Java update om te upgraden naar de Oracle Java versie.

Allereerst, Java is al geruime tijd niet meer van Sun, maar van Oracle.
En Java 1.6.0_41 is wel de meest recente versie van Java 1.6 (Java 6), maar niet de nieuwste Java versie.
Naast Java 1.6 (Java 6), bestaat Java 1.7 (Java 7).
http://www.oracle.com/technetwork/java/javase/releasenotes-136954.html
http://www.oracle.com/technetwork/java/javase/7u-relnotes-515228.html
En voor Java 1.6 (Java 6) zullen na februari 2013 geen updates meer uitgebracht worden.
Daarom wordt geadviseerd te upgraden naar Java 1.7 (Java 7).
http://java.com/en/download/faq/java_6.xml
http://java.com/en/download/faq/why_upgrade.xml
http://www.oracle.com/technetwork/java/javase/documentation/autoupdate-1667051.html

Overigens is dat allemaal nogal off-topic,
het heeft weinig of niets te maken met waar dit topic/ deze thread over gaat.
Niettemin bedankt voor de 'kick up' van dit topic, zodat het mogelijk ook anderen nog opvalt :-)

Ik heb Java en de bijbehorende plugins van mn PC/laptop verwijderd, maar de optie "Enable Javascript" in Firefox staat nog wel aan. Betekent dit dat ik nog steeds kwetsbaar ben ondanks dat Java en de plugins verwijderd zijn?
Verder heb ik in Firefox wel alle "populaire" add-ons geinstalleerd waaronder Adblock Plus, Better Privacy, Browser Protect, DoNotTrackMe, Ghostery en HTTPS-Everywhere. Zorgen deze add-ons er voor dat de kans op besmetting (bij normaal gebruik) minder is of even groot wanneer ik Java en de de Java plugins wel geinstalleerd zou hebben?

Thnx alvast!

@ Anoniem 13:19 uur,

Het is de afgelopen paar maanden nu al vele keren gezegd:
JavaScript is niet hetzelfde als Java.
Met het verwijderen van Java los je de betreffende kwetsbaarheden door Java op.
Kwetsbaarheden door JavaScript staan daar los van.

De rest van je vragen kun je beter in een nieuw eigen forum-topic stellen, want die zijn volkomen off-topic in deze thread.
Lees het startbericht van deze thread nog maar eens na.

Even een zetje voor dit topic,
voor wie op voorjaarsvakantie is geweest en nu terug is.

Dit vanwege wat ik in het startbericht aangaf -
Het zou waardevol zijn zijn wanneer Java-gebruikers zouden willen uitproberen en zouden willen aangeven of die nieuwe optie om de Java browser-plugin uit te schakelen via het Java Control Panel (zie startbericht) ook op hun systemen voorkomt dat de Java browser-plugin weer automatisch inschakelt na een Java-update.

'k had java 7u15 en het vinkje "enable java content in browser" op tabblad "security" uitgezet.
zojuist java 7u17 eroverheen geïnstalleerd en het vinkje is uit gebleven.
misschien nu nog een piepklein aan/uit-proggie die dit én de opvolgende vensters afwikkelt?

Dankjewel voor je bericht, GeminiAlpha.
Naast het bericht van Anoniem uit de andere thread is dit de tweede bevestiging dat het uitschakelen van de Java browser-plugin via het Java Control Panel voorkomt dat de Java browser-plugin weer automatisch inschakelt na een Java-update.
Mooi!

En zou je misschien nog kunnen aangeven wat je precies bedoelde met het volgende,
dat was me niet helemaal duidelijk:
Bedankt.

Hier is vinkje weer aangezet bij twee W7 computers

Je had de Java browser-plugin uitgeschakeld via het Java Control Panel,
het vinkje weggehaald uit het selectievakje bij "Enable Java content in the browser"
zoals bedoeld in het startbericht van deze thread,
en zoals hier aangegeven
http://www.java.com/nl/download/help/disable_browser.xml
http://www.java.com/en/download/help/disable_browser.xml
maar na updaten van Java was het vinkje weer terug?

Is dat wat je bedoelt?


Had je wel de Java update 'over de bestaande Java installatie heen' geïnstalleerd?
Of had je Java eerst verwijderd voordat je de nieuwe versie/update installeerde?

In het geval dat je Java eerst verwijderde, is het uiteraard logisch dat de eerdere instelling niet bewaard werd.
Maar heb je echter de Java update 'over de bestaande Java installatie heen' geïnstalleerd, en kwam daarbij het vinkje terug in het selectievakje bij "Enable Java content in the browser", dan is dat interessant. In dat geval is jouw ervaring afwijkend van die van Anoniem uit de andere thread (zie startbericht van deze thread) en van die van GeminiAlpha.


Ik hoop dat je nog even wilt aangeven of je de Java update 'over de bestaande Java installatie heen' hebt geïnstalleerd,
of dat je Java eerst had verwijderd voordat je de nieuwe versie/update installeerde.

Alvast bedankt.

@ Spiff 12:52
Wie maakt 'n soort hulpprogramma waarmee je met 1 muisklik Java uit cq aan kunt zetten én in de vensters, die nu nog op het vinkje en ok volgen, vanzelf de juiste antwoorden zet.
Zodat het daarmee echt alleen maar een aan/uit schakelaar (zonder vragen) is.
Zo duidelijk?

Ik begrijp het, GeminiAlpha, dank je.

Doordat ik geen Java meer gebruik, en die methode van uitschakelen van de Java browser-plugin via het Java Control Panel niet zelf heb uitgeprobeerd, had ik geen idee dat die methode als gecompliceerd kon worden ervaren.

De Java-documentatie vermeldt alleen:
- het via Configuratiescherm naar het Java Control Panel gaan,
- tabblad Security (Beveiliging) kiezen,
- weghalen van het vinkje voor "Enable Java content in the browser",
en vervolgens de stappen die voor zich spreken:
- Apply (Toepassen),
- User Account Control (Gebruikersaccountbeheer) toestemming geven,
- en ten slotte bevestigen met OK in het bevestigingsvenster van de Java-plugin,
- en de browser starten om de wijziging door te voeren.
http://www.java.com/nl/download/help/disable_browser.xml
http://www.java.com/en/download/help/disable_browser.xml

Ik denk dat dat toch wellicht wel voor zich spreekt, zeker met de uitleg op die instructiepagina erbij?
Of kwam je opties tegen die verwarrend kunnen zijn?
Of richtte je je met je suggestie op die computergebruikers die zelfs zo'n rechttoe-rechtaan proces te moeilijk vinden?

Denk je dat een instelling die zelfs geen "OK" meer verlangt en ook geen UAC-bevestiging meer vraagt wel zo wenselijk is?
Mij lijkt het wenselijk dat het her-inschakelen van de Java browser-plugin afhankelijk moet zijn van UAC-toestemming. En dat brengt met zich mee dat ook het uitschakelen UAC-toestemming verlangt.

@ Spiff 20:32. Hier wat aanvullende info.
Ik geef het toe, 'k ben gemakzuchtig en dacht dat alleen 1 vinkje en 1x ok genoeg zou zijn, maar er volgen nog enkele vensters. Niet echt moeilijk, maar wel 'n beetje vervelend.
Ik ben anti-Java, maar moet wel, omdat een door mij gebruikt CMS met Java bediend moet worden. Dus wil ik gemakkelijk ff Java aan en uit kunnen schakelen en is mij elk bijkomend (antwoord)venster te veel.
Nog even afgezien van het feit dat het door mij gebruikte CMS (nog) geen 7u17 ondersteunt, maar alleen (nog) 6u35. Kun je je voorstellen dat ik (als anti-Java-gek) baal als een stekker: telkens 6u35 even installeren en na het werk weer déïnstalleren (omdat die switch on/off in 6u35 niet bestaat)? Ik heb de CMS beheerder mijn gram laten weten en nu maar hopen dat ze "daarginds" snel de zozeer gewenste aanpassingen uitvoeren.
Op mijn andere 2 systemen is Java niet geïnstalleerd, dat heeft mijn voorkeur en dat houd ik graag zo!

ben niet boos, maar wel verdrietig (beetje emotie moet kunnen)

lees nog ff mijn comment hier:
https://www.security.nl/artikel/45413/1/Oracle_noodpatch_verhelpt_ernstige_Java-lekken.html 20:05 uur

Ik begrijp beslist je emotie, GeminiAlpha.
Ellendig om van Java afhankelijk te moeten zijn,
en dan niet eens een recente Java 1.7 (Java 7), die tenminste dat (relatief) gemakkelijk uitschakelen van de Java browser-plugin via het Java Control Panel ondersteunt,
of van de meest recente Java 1.6 (Java 6) versie, die jammer genoeg nog niet dat uitschakelen van de Java browser-plugin via het Java Control Panel ondersteunt, maar tenminste wel min of meer gepatched is,
maar zelfs van een gillend-lekke oude 1.6.0_35 versie, die je na elk gebruik weer moet deïnstalleren. Vreselijk.
Sterkte maar toegewenst.

Ik heb daar di. 5 maart 16:40 uur op gereageerd met een aantal vragen.
Ik hoop dat Anoniem van di. 5 maart 15:40 uur alsnog even wil reageren op mijn reactie en mijn vragen van dinsdag 16:40 uur:

Nog eens in het kort:

Wat bedoelde je precies met "Hier is vinkje weer aangezet bij twee W7 computers"?
Had je de Java browser-plugin uitgeschakeld via het Java Control Panel,
het vinkje weggehaald uit het selectievakje bij "Enable Java content in the browser"
maar na updaten van Java was het vinkje automatisch weer terug?
Was dat wat je bedoelde?

Had je dan wel de Java update 'over de bestaande Java installatie heen' geïnstalleerd?
Of had je Java eerst verwijderd voordat je de nieuwe versie/update installeerde?


Heel graag nog je reactie.
Alvast bedankt.

Niet eerst verwijderd.
Had voor update eerst vinkje weggehaald bij "Enable Java content in the browser", daarna update gedraaid via Java Control Panel en na update was vinkje weer terug.
Heb dit vandaag nogmaals gedaan bij een derde W7 bak, met hetzelfde resultaat.

Misschien is het relevant dat ik (in minstens 2 van de 3 gevallen) de browser niet heb gebruikt tussen het weghalen van het vinkje en de update.
Ik draai updates altijd vanuit Admin account en gebruik deze account niet voor andere dingen.

Ik vermoed dat dat zeker relevant zou kunnen zijn.
Want in de instructie wordt vermeld:
"5. De wijzigingen worden doorgevoerd zodra u de browser opnieuw hebt gestart."
Zie:
http://www.java.com/nl/download/help/disable_browser.xml
http://www.java.com/en/download/help/disable_browser.xml

Overigens vind ik het niet bepaald vanzelfsprekend dat de instelling in het Java Control Panel pas 'vastgezet' zou worden na het starten van de browser.
Ik kan me voorstellen dat het nodig is om de browser te starten om de browser-plugin uit te schakelen, maar dat dat ook nodig zou zijn om de instelling in het Java Control Panel 'vast te zetten', dat lijkt niet logisch.
Maar ik kan dat vooralsnog echter niet uitsluiten, want het zijn immers rare jongens bij Oracle.

Je zou het een volgende keer dus nog eens kunnen proberen,
maar dan rekening houdend met dat punt 5,
en dus na het maken van de instelling de browser starten en sluiten, voordat de Java update wordt uitgevoerd.

Ik ben benieuwd of je ervaring dan hopelijk anders zal zijn.

Hartelijk bedankt voor je reactie van vandaag,
en ik lees graag nog je ervaring na een volgende update.

Willdo ... In het huidige tempo zou dat al volgende week kunnen zijn. ;-)

Op de meeste computers die ik beheer is Java verwijderd maar helaas kan dat niet overal omdat het nodig is* voor LibreOffice.

* Ik weet het, LO draait ook prima zonder Java, maar ik heb nog geen goede vervanger kunnen vinden voor de java mysql-connector.

Spiff, hier nog een reactie van Anoniem die de eerste test voor je gedaan heeft met Java update van 13 naar 15.
Ik heb zelf wederom op XP SP3 een test gedaan van 15 naar 17.

- Checkbox onder Security tab UITgevinkt in jcp EN vervolgens op de Apply knop geklikt. Vervolgens 2 keer op de Ok knop geklikt (Eerste om de browser restart blabla info window te sluiten. 2e om jcp te sluiten).
- Eventuele browsers die nog open stonden afgesloten. Ik zie er het nut niet van om de browser weer op te starten dus dat heb ik achterwege gelaten.
- Java update van 15 naar 17 uitgevoerd (Nog steeds maar 3 billion devices die Java runnen ... hihi)
- Checkbox onder Security tab in jcp staat nog steeds UITgevinkt

Ik zie nergens dat de anonieme poster met onverwacht resultaat op w7 na het uitvinken van de checkbox op de Apply
knop klikt ... De informatieve melding:

Changes to enable or disable Java content in the browser will take effect after restarting the browser(s).

krijg je ook pas te zien als je op de Apply knop klikt. Ik geloof niet dat de anonieme poster hier melding van maakt.
Dus kan zijn dat hij/zij vergeet op de Apply knop te klikken.

Ik kan me niet voorstellen dat er een verschil is in Java update tussen Windows XP en Windows 7.
Maar ja, met de combi Microsoft/Oracle is alles mogelijk ...

Ik zal zelf nog een testje doen met een 32-bit Java 15 naar 17 update op een 64-bit Windows 7 Home Premium omgeving.

Overigens iets dat me eerder was opgevallen is dat als je vanuit het Java (6) control panel checkt voor updates
er een Java 7 update wordt aangeboden ! Terwijl als je op de notificatie van het automatische update mechanisme wacht de laatste update van Java 6 wordt aangeboden ! Voegt niets toe aan dit onderwerp maar neem 't maar mee in je Java rugzakje. Kan geen kwaad.

Anoniem, di.19-2, 21:45 uur, uit de in mijn startbericht genoemde thread, ben je dan denk ik, hè?
https://www.security.nl/artikel/45203/1/Facebook_gehackt_via_Java_zero-day-lek.html

Hartelijk bedankt voor je uitgebreide reactie met je nieuwe test-resultaten.

Goed om te lezen dat ook zonder het starten van de browser de instelling in Java Control Panel vastgehouden wordt na de Java update.

Het zou kunnen.
Het is uiteraard van belang om alle stappen uit te voeren die genoemd worden in de beschrijving van het uitschakelen van de Java browser-plugin via het Java Control Panel.
Dat is waarom ik steeds die links naar de handleiding voor het uitschakelen van de Java browser-plugin via het Java Control Panel vermeld:
http://www.java.com/nl/download/help/disable_browser.xml
http://www.java.com/en/download/help/disable_browser.xml
Wanneer iemand de Java browser-plugin uitschakelt via die optie in het Java Control Panel, dan ga ik er vanuit dat iemand dan ook die instructie bekijkt en volgt.
Ik ging er daarom vanuit dat ook Anoniem, di.5-3, 15:40 uur/ do.7-3, 14:10 uur dat doet.
Zou dat niet zo zijn, dan kan dat wellicht zijn/haar afwijkende ervaringen verklaren.


Misschien omdat het plan is dat voor Java 1.6 (Java 6) na februari 2013 geen updates meer uitgebracht zullen worden?
"Java 6 Update 43 is the last public update of Java 6"
http://java.com/en/download/faq/why_upgrade.xml
Om die reden wordt geadviseerd te upgraden naar Java 1.7 (Java 7).
http://java.com/en/download/faq/java_6.xml
http://www.oracle.com/technetwork/java/javase/documentation/autoupdate-1667051.html

Alvast hartelijk bedankt.
En kijk ook nog even naar wat Anoniem, do.7-3, 22:18 uur aangaf,
en mijn reactie daarop van vandaag, vr.8-3, 11:09 uur,
om uit te sluiten dat jouw bevindingen te wijten zouden zijn aan het per ongeluk missen van een van de benodigde stappen.
Nogmaals bedankt.

Ook mijn ervaring is dat Java in de browser uit blijft staan bij een up- en downgrade van Java 7. Vermoedelijk heeft dit te maken met het bestand 'C:\Users\<useraccount>\AppData\LocalLow\Sun\Java\Deployment\deployment.properties'. Dit bestand is vergelijkbaar met het bestand 'deployment.properties in de map %windir%\Sun\Java\Deployment'. Als Java in de browser uit gezet wordt zie je de regel "deployment.webjava.enabled=false" erbij komen. Bij het opstarten van de Java Control Panel wordt de inhoud van het bestand (gedeeltelijk) opgenomen in de registry onder de key ‘HKEY_CURRENT_USER\Software\AppDataLow\Software\JavaSoft\DeploymentProperties’.

Hoe al deze instellingen op elkaar inwerken is mij niet helemaal duidelijk. Het bestand 'deployment.properties in de map %windir%\Sun\Java\Deployment' wordt volgens mij gebruikt bij de installatie van Java als default instellingen voor gebruikers. De regel deployment.webjava.enabled.locked zorgt er weer wel voor dat de instelling van de gebruiker overschreven worden en niet meer door de gebruiker veranderd kunnen worden via de Java Control Panel.
Via het deployment.properties bestand zou ook de melding dat een oude versie van Java 7 gebruikt wordt (bijv. als Java7u17 nog geinstalleerd is als Java7u17 uitgekomen is) te ondrukken zijn. Dit is me echter nog niet gelukt en heeft mogelijk ook te maken met het deployment.properties bestand (of registry values) van de gebruiker.

Mvg RK

Naar aanleiding van de recente Java updates geef ik dit topic weer even een zetje,
om te vragen wat de recente ervaringen zijn van wie de Java browser-plugin heeft uitgeschakeld via het Java Control Panel, zoals genoemd in het start-bericht van deze thread en zoals hier beschreven:
http://www.java.com/nl/download/help/disable_browser.xml
http://www.java.com/en/download/help/disable_browser.xml

Heeft het uitschakelen van de Java browser-plugin via het Java Control Panel voorkomen dat de Java browser-plugin weer automatisch inschakelde na de Java-update, zoals de ervaring was van meerdere gebruikers (zie eerder in de thread),
of werd ondanks het uitschakelen van de Java browser-plugin via het Java Control Panel mogelijk niet voorkomen dat de Java browser-plugin weer automatisch inschakelde na de Java-update, zoals eerder de ervaring was van enkele gebruikers (zie eerder in de thread).
In dat laatste geval: Was de Java browser-plugin dan eerder wel volledig correct uitgeschakeld via het Java Control Panel, met alle benodigde stappen uitgevoerd en alle bevestigingen gegeven, zoals hier beschreven:
http://www.java.com/nl/download/help/disable_browser.xml
http://www.java.com/en/download/help/disable_browser.xml

Rapporteren van je ervaring is nog steeds waardevol, om duidelijk te krijgen hoe betrouwbaar het uitschakelen van de Java browser-plugin via het Java Control Panel voorkomt dat de Java browser-plugin weer automatisch inschakelt na Java-updates.
Alvast hartelijk bedankt weer.


[wijziging: correctie van een typo]