[Howto] วิธีปิดการทำงานของ Java บนเว็บเบราว์เซอร์ เพื่อความปลอดภัยจากช่องโหว่

By mk Founder on Tag: Java, Security, In-Depth
Java

ปัญหาความปลอดภัยที่เกิดจากช่องโหว่ของ Java กลายเป็นเรื่องซีเรียส เราเห็นข่าวการโจมตีด้วยช่องโหว่ของ Java เป็นวงกว้าง และขนาดบริษัทไอทีรายใหญ่ทั้ง Twitter และ Facebook ก็ยังไม่รอด ต่างก็โดนแฮ็กเพราะ Java ในเครื่องของพนักงาน

บทความนี้จึงเขียนขึ้นเพื่อสอนวิธีป้องกันตัวจากการโจมตีผ่านช่องโหว่ของ Java ที่อาจติดตั้งอยู่ในเครื่องของผู้อ่านอยู่แล้ว โดยเน้นผู้อ่านกลุ่ม end-user ที่อาจไม่ทราบข้อมูลเรื่อง Java มากนัก

ปัญหาคืออะไรกันแน่

นิยามของคำว่า Java นั้นกว้างมาก แต่ในแง่การใช้งานคงหนีไม่พ้นตัวโปรแกรม Java Runtime Environment (ตัวย่อ JRE หรือที่หลังๆ ออราเคิลพยายามใช้คำว่า Java SE แทน) ที่ติดตั้งอยู่ในคอมพิวเตอร์ของผู้ใช้ เพื่อให้คอมพิวเตอร์เครื่องนั้นรันโปรแกรมที่เขียนด้วย Java ได้

อย่างไรก็ตาม โปรแกรมที่เขียนด้วย Java สามารถแบ่งได้เป็น 2 ประเภทใหญ่ๆ

  1. โปรแกรมที่ทำงานบนเดสก์ท็อป (ลักษณะเดียวกับโปรแกรมทั่วไป) เรียกว่า Java application
  2. โปรแกรมที่ทำงานบนเว็บเบราว์เซอร์ (แบบเดียวกับ Flash) เรียกว่า Java applet

จุดที่เป็นปัญหาเรื่องความปลอดภัยคือ Java applet เนื่องจากมันไม่ต้องผ่านกระบวนการติดตั้ง (install) ตัวเองลงในเครื่องของผู้ใช้ เพียงแค่เอาเบราว์เซอร์ที่ติดตั้ง Java plug-in ไปเปิดเว็บที่ฝัง applet เอาไว้ก็ใช้งานได้แล้ว

ตามปกติแล้ว applet ทำงานได้เฉพาะบนเว็บเบราว์เซอร์เท่านั้น ระบบความปลอดภัยของ Java จะกรองไว้ไม่ให้ทำอะไรได้มากกว่านั้น (และเมื่อปิดหน้านั้นทิ้ง โปรแกรม applet ก็จะหายไปด้วย) แต่แฮ็กเกอร์ใช้ช่องโหว่ของ Java plug-in ช่วยให้ applet ประสงค์ร้ายมีอำนาจติดตั้งตัวเองลงในเครื่องได้ด้วย โดยที่ผู้ใช้ไม่รู้ตัว

วิธีการป้องกันตัวจึงเป็นการ "ปิดการทำงาน" ของ Java ในส่วนที่ 2 เฉพาะที่ทำงานบนเบราว์เซอร์ เพื่อป้องกันการติดมัลแวร์หรือโดนแฮ็กขณะที่เราท่องเน็ตอยู่นั่นเอง (หรือถ้าใครจะลบ Java ออกไปจากเครื่องเลย ก็สามารถทำได้ผ่านวิธี Uninstall ตามปกติ)

หมายเหตุ: Java เป็นคนละอย่างกับ JavaScript ไม่มีอะไรเหมือนกันเลยยกเว้นชื่อ

ตรวจสอบเวอร์ชันของ Java

อย่างแรกสุดที่ต้องทำคือ ตรวจสอบว่า Java ในเครื่องของเราเป็นเวอร์ชันล่าสุด (ที่ปิดช่องโหว่ต่างๆ ไปแล้ว) หรือไม่ โดยดูจากโปรแกรม Java Control Panel ที่ลงอยู่ในเครื่องของเราแล้ว

วิธีการเรียก Java Control Panel ต่างกันไปในแต่ละระบบปฏิบัติการ ดังนี้

  • Windows XP อยู่ใน Control Panel เป็นไอคอนชื่อ Java
  • Windows Vista/7 อยู่ใน Control Panel เป็นไอคอนชื่อ Java Control Panel หรือ Java
  • Windows 8 สามารถค้นหาได้จาก Start Screen หรือจะเรียกผ่าน Control Panel ก็ได้
  • Mac OS X อยู่ใน System Preferences

เมื่อเรียก Java Control Panel ขึ้นมาได้แล้ว จะเห็นหน้าจอดังภาพ

Java Control Panel

กดที่ปุ่ม About เพื่อดูเลขเวอร์ชันของ Java ที่ติดตั้งอยู่ในเครื่อง

ขณะที่เขียนบทความนี้ Java เวอร์ชันล่าสุดคือ 7u13 หรือ Java 7 Update 13 (สามารถตรวจสอบเลขเวอร์ชันล่าสุดได้จากเว็บไซต์ Java) ถ้าเวอร์ชันของเราเก่ากว่านี้ ให้ดาวน์โหลดเวอร์ชันล่าสุดมาติดตั้งก่อน

ปิดการทำงานของ Java บนเว็บเบราว์เซอร์ผ่าน Java Control Panel

เมื่อ Java ของเราเป็นเวอร์ชันล่าสุดแล้ว ให้เข้าไปที่ Java Control Panel อีกครั้ง แล้วเลือกแท็บ Security ดังภาพ

Disable Java

เอาเครื่องหมายถูกตรงคำว่า Enable Java content in the browser (จุดที่ล้อมไว้ด้วยสีแดง) ออก แล้วกด OK/Apply เป็นอันเสร็จพิธี (วินโดวส์รุ่นใหม่ๆ อาจต้องกดตกลงผ่าน UAC ด้วยอีกชั้นหนึ่ง)

ปิดการทำงานของเบราว์เซอร์ทุกตัว แล้วเปิดเว็บเบราว์เซอร์ใหม่ เข้าไปยังหน้า Verify Java Version เพื่อทดสอบว่าเบราว์เซอร์ของเรายังใช้งาน Java ได้หรือไม่ ถ้าพบกับคำว่า "We are unable to verify if Java is currently installed and enabled in your browser." (ตามภาพด้านล่าง) แปลว่าเบราว์เซอร์รัน Java ไม่ได้แล้ว ถือว่ากระบวนการปิด Java เสร็จสมบูรณ์

Verify Java

หมายเหตุ: วิธีการนี้ใช้ได้กับ Java 7u10 ขึ้นไปเท่านั้น

ข้อมูลอ้างอิงจาก Java.com: How do I disable Java in my web browser?

[ทางเลือก] ปิดการทำงานของ Java ในเบราว์เซอร์แต่ละตัว

ในกรณีที่ Java ไม่ได้เป็นเวอร์ชันล่าสุด และไม่ต้องการอัพเดต (ซึ่งไม่แนะนำ) เราสามารถสั่งปิด Java ได้เช่นกัน แต่จะลำบากหน่อยเพราะต้องไปไล่ปิดการทำงานของ Java plug-in ในเบราว์เซอร์แต่ละตัวเอง

Firefox

  • กดปุ่ม Firefox มุมบนซ้าย (ถ้าเป็นวินโดวส์) เลือก Add-ons
  • เลือกแท็บ Plugins
  • ถ้ามี Java อยู่ให้สั่ง Disable (ถ้าปุ่มเขียนว่า Enable แปลว่ามันปิดอยู่แล้ว ไม่ต้องทำอะไร)

ข้อมูลอ้างอิง: Mozilla Support

Chrome

  • พิมพ์ chrome://plugins ในช่อง URL
  • ถ้ามี Java อยู่ให้สั่ง Disable

ข้อมูลอ้างอิง: Chrome Help

Internet Explorer

  • คลิกที่ปุ่มรูปเฟืองของ IE (อยู่ด้านขวาสุดใน IE รุ่นใหม่ๆ)
  • เลือก Manage add-ons
  • หมวด Toolbars and Extensions
  • สั่งปิดการทำงานของ Java(tm) Plug-in ทุกตัว

IE Java

Safari

  • เข้าไปยังหน้า Preferences ของ Safari (ผ่านเมนู Safari)
  • เลือกแท็บ Security
  • เอาตัวเลือก Enable Java ออก

ข้อมูลอ้างอิง: Apple Support

Opera

  • พิมพ์ opera:plugins ในช่อง URL
  • สั่ง Disable รายการที่เกี่ยวข้องกับ Java

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

SaMzAn Sat, 16/02/2013 - 11:40

ขอบคุณสำหรับบทความดีๆครับ ผม่ไม่ค่อยรู้เรื่อง Java เท่าไหร่ พออ่านบทความนี้เข้าใจเรื่อง Java มากขึ้นเยอะ ตอนแรกที่ได้ยินข่าวรูรั่วบ่อยๆ ผมใช้วิธีบ้านๆ uninstall ออกจากเครื่องไปเลย หลังจากนั้นก็ไม่เคยติดตั้งอีก(เพราะเครื่องผมไม่มีโปรแกรมไหนจำเป็นต้องรัน Java เลยไม่รู้สึกเดือดร้อน)

แต่พอมาอ่านบทความนี้ เพิ่งมารู้ว่าตัวที่มีปัญหามันไม่ได้เป็น Java Application (ที่ลบไป) แต่เป็น Java Applet มันอยู่ที่ Browser ของเราตลอดเวลา Y_Y

champjss Sat, 16/02/2013 - 17:38 

เอาเครื่องหมายถูกตรงคำว่า Enable Java content in the browser (จุดที่ล้อมไว้ด้วยสีแดง) แล้วกด OK/Apply เป็นอันเสร็จพิธี

ตรงนี้ตกคำว่า ออก หรือเปล่าครับ

illuminator Sat, 16/02/2013 - 18:27

ผมตั้ง Security Level เป็น High ซึ่งเวลา Browser รัน Applet มันจะขึ้นถามเราว่าให้รันไหม ผมไม่ทราบว่าการตั้งค่าแบบนี้ยังมีช่องโหว่ไหมครับ เพราะยังต้องใช้งาน Java อยู่ครับ

TeamKiller Sat, 16/02/2013 - 21:52

ทำไม Chrome v.24 ใน OS X ผมบอก ในหน้า Verify Java Version

Chrome does not support Java 7. Java 7 runs only on 64-bit browsers and Chrome is a 32-bit browser.

If you download Java 7, you will not be able to run Java content in Chrome and will need to use a 64-bit browser (such as Safari or Firefox) to run Java content within a browser. Additionally, installing Java 7 will disable the ability to use Apple Java 6 on your system.

คือรันไม่ได้ ก็ปลอดภัยเลยเปล่าครับ

canoe Wed, 20/02/2013 - 23:25

หมายเหตุ: Java เป็นคนละอย่างกับ JavaScript ไม่มีอะไรเหมือนกันเลยยกเว้นชื่อ

แง่ววว ที่ผ่านมาไปปิด java script มาตลอด แสดงว่าไม่ได้ปลอดภัยเลยสิเนี่ย แถมชีวิตยุ่งยากขึ้นมากๆๆๆๆเลย - -"

kengpk Wed, 27/03/2013 - 15:17

TopUp2Rich สร้างรายได้วันละ 4,200 บาท จากมือถือของคุณ

TopUp2Rich ล้ำหน้าด้วยเทคโนโลยีที่จะเปลี่ยนมือถือของคุณให้กลายเป็นเครื่องจักรทำเงิน

วิธีรับเงินง่าย ๆ
เพียงเปลี่ยน วิธีการเติมเงินมือถือ ของคุณ
มาใช้บริการกับ Topup2Rich

โดยเติมผ่าน โทรศัพท์มือถือทุกรุ่น, iPad, Notebook
หรือ Computer จะเติมเงินให้คุณเอง หรือเติมให้ใคร..ก็ได้
ใช้ได้กับมือถือทุกรุ่น ทุกยี่ห้อ ทุกระบบ ขอเพียงส่ง SMS ได้ก็พอ
เติมเงินมือถือ สะดวก ทุกที่ ทุกเวลา
เพราะคุณไม่ต้องเดินทาง 7-11 ไม่ต้องเดินหาตู้ ไม่ต้องเสียเวลาขูดบัตร

เพียงเติมเงินมือถือ เดือนละ 100 บาทขึ้นไป
สามารถสร้างรายได้หลักหมื่นหลักแสนต่อเดือน
สุดยอดแผนการตลาดของ Topup2rich แบ่งผลกำไรการเติมเงินทั้งหมดให้นักธุรกิจ
และรายได้การบริหารทีมอีกวันละ 4200 บาท

ธุรกิจของคนไทย ถูกกฏหมาย 100%

ดูรายละเอียดและวิธีการสมัครได้ที่
http://www.topup2rich.org/?id=kengpk
(หากกรอกข้อมูลไม่ได้ให้ใช้ Internet Explorer เปิดเว็บครับ)

ติดต่อสอบถามได้ที่ : 080-4697540 (คุณเก่ง ภายุภัค ไพศาลธนาทรัพย์)
อีเมล์ & MSN : topup2rich1@hotmail.com
ติดต่อได้ตลอด 24 ช.ม. ครับ