刘超转自自由亚洲
DC:较早前,美国国土安全部宣布,由于在Java发现严重保安漏洞,因此建议全球用户停用Java。就算甲骨文公司公布了新版的Java,都仍然不够安全。到底这次Java出了什么保安问题,导致全部用户要停用Java?
李:Java本来在设计上很安全,透过虚拟机器的阻隔,黑客很难写出程式能够直接控制用户的系统,而且更可以做到跨作业系统运作,因此多年以来深得程式编写人员信赖。有部分翻墙软件,亦是利用Java来编写。
只不过,现时美国国土安全部发现黑客可以透过Java程式,直接控制用户的电脑,那亦即是Java的保安机制失效。中国当局有可能利用这些安全漏洞,在你翻墙期间偷取资料,甚至在你电脑作其他举动。因此,这次Java的保安风险,对不少中国用户构成相当大威胁。因此,我们建议听众,如果可以的话,暂停使用Java,直至甲骨文公司更新,证实能够堵塞所有保安漏洞为止。特别要留意,并非甲骨文公司宣称已经解决问题,就可以放心用Java,应密切留意美国国土安全部的公告。
DC:现时部分翻墙软件都是基于Java,而现时Java有这样的保安风险,那身为用户,那该怎做好?
李:现时依赖Java的翻墙软件有两种,一种是跨平台,在桌面电脑上运作的翻墙软件。由于在桌面电脑上,可以选择的翻墙软件相当多,亦可以用作业系统对VPN的支援,因此,在Java开发商甲骨文彻底解决Java的保安漏洞之前,我极不建议听众继续使用以Java为基础的翻墙软件,宁愿继续使用VPN或自由门、动态网一类的软件。
但对于手机用户,就有可能要被迫继续使用Java来翻墙,因为Android和iOS以外的平台,很多翻墙软件都是以Java为基础运作。一旦停用Java就差不多等于无翻墙软件可用,对这类型手机用户,你们可以继续使用手机来翻墙,但一些高风险的通讯,并不建议透过手机翻墙进行。由于手机的Java都难以更新,有可能乾脆换一部新型号智能手机,是最安全可靠的做法。
DC:除了翻墙软件,有部分企业,甚至政府的应用软件,都可以要依赖Java,甚至个别网上银行服务,都可能要用到Java,那用户应怎样考虑?
李:由于这次Java的保安漏洞实在太危险,任何要加密的资料,经过Java编写的应用程式固然危险,但更令人害怕是漏洞可以让黑客在你的电脑中执行任何程式,在一些极其重要的应用上,仍然使用Java可谓自招麻烦。
因此,有部分政府服务或银行服务,如果用到Java的话,那烦请你暂时不要用网上服务,宁愿在柜台或政府部门进行。一如涉及敏感资料的翻墙动作,并不适宜使用由Java编写的翻墙软件进行一样,政府服务或银行服务,定必涉及敏感的个人资料,如果仍然由Java去处理,这样与引狼入室其实并无分别。
DC:有部分主机的网页,其实都是用Java写,那用户能够避免得到吗?
李:部分网站,例如JSP技术写的网站,当中基础是用Java,这类网站都会受这类保安风险威胁。但网民很难有足够技术知识判断网页是否用Java写,因此在留个人敏感资料在Java写成的网页时,应小心行事。