Как безопасно использовать Java

Кратко

Java долгое время была главным источником уязвимостей в браузерах. Если вы не используете Java — удалите её. Если нужно оставить, следуйте шагам ниже, чтобы снизить риск взлома и заражения.

Быстрые ссылки

Удалить Java полностью, если сможете
Если Java нужна только для настольных программ
Если вы запускаете Java в браузере
Держите Java в актуальном состоянии

Иллюстрация угроз безопасности Java

Java годами была основной причиной эксплойтов в браузерах. Даже после экстренных исправлений уязвимости продолжают появляться. С практической точки зрения надо считать, что Java периодически будет уязвима, и выстроить защиту исходя из этого.

Мы рекомендуем полностью отключить Java всем, кто может обойтись без неё. У большинства пользователей Java просто установлена и ждёт момента эксплуатации. Удалите Java сейчас, если это возможно.

Но часть людей по-прежнему зависит от Java — например, для игры в Minecraft, запуска старых корпоративных апплетов или локальных утилит. Для таких случаев ниже — подробные инструкции по снижению риска.

Удалите Java полностью, если можете

Если вы не используете Java ни для чего — удалите её прямо сейчас. На Windows Java появляется в списке установленных программ в Панели управления (Программы и компоненты). Если сомневаетесь, попробуйте удалить — скорее всего, вы не заметите потери функциональности.

Если удаление невозможно, найдите сочетание стратегий ниже, чтобы минимизировать риски: отключение плагина в браузере, использование отдельного браузера для сайтов с Java, строгие политики обновлений и мониторинг.

Список установленных программ в Панели управления с Java

Если вы используете Java только для настольных программ

Часто Java нужна только для локальных приложений (Minecraft, инструменты разработчика, Android SDK и т. п.). В таком случае достаточно отключить интеграцию Java в браузере. Это предотвратит тихую загрузку вредоносного кода через уязвимый Java-плагин.

Шаги для Windows:

Откройте Панель управления Java: нажмите клавишу Windows, введите Java и нажмите Enter. В Windows 8 выберите категорию Настройки после ввода.
Перейдите на вкладку Безопасность.
Снимите галочку с пункта Включить содержимое Java в браузере.
Нажмите Применить и ОК.

Это отключит плагин Java во всех браузерах на компьютере. При этом скачанные приложения (jar и native-программы) смогут по‑прежнему использовать установленную Java.

Панель управления Java — вкладка Безопасность

Замечание: эта опция появилась в Java 7 Update 10. До этого не было простого способа отключить Java во всех браузерах.

Если вы запускаете Java в браузере

Если вам нужно запускать Java-апплеты в браузере, следуйте принципу минимальной поверхности атаки: отделите браузеры и используйте Java только там, где она действительно нужна.

Рекомендации:

Установите два браузера: основной — без Java, и отдельный — с включённым Java. Используйте вторичный браузер только для доверенных сайтов (например, корпоративный интранет).
В основном браузере отключите Java-плагин и включите политику click-to-play для всех плагинов. Это потребует явного разрешения для запуска Java-контента.
Ограничьте список доверенных сайтов в настройках Java (Control Panel → Security → Exception Site List) только теми адресами, которым вы полностью доверяете.
Если сайт вызывает Java-контент, проверьте его хост и сертификат, прежде чем разрешать исполнение.

Следуйте шагам по отключению Java в основном браузере, а вторичный браузер держите под строгим контролем.

Меню отключённых плагинов в браузере

Опция click-to-play доступна в Chrome и Firefox. Она предотвращает автоматический запуск Java и Flash, пока вы сами не подтвердите разрешение на странице.

Настройка click-to-play в браузере

Держите Java обновлённой

Если Java у вас установлена, настроите её автоматические обновления.

Шаги:

Откройте Панель управления Java.
Перейдите на вкладку Обновление.
Включите автоматическую проверку обновлений.
Нажмите Дополнительно и выберите проверку минимум раз в день.

Это важно: по умолчанию Java проверяет обновления слишком редко (неделя/месяц), а уязвимости появляются часто. Как только увидите уведомление об обновлении в трее — установите его как можно скорее.

Панель обновлений Java — вкладка Обновление

Параметры проверки обновлений Java — расширенные настройки

Замечание: старые версии Java иногда оставляли предыдущие уязвимые релизы после обновления. Современные инсталляторы Java обычно удаляют старые версии, но это не замена строгой политики безопасности.

Дополнительные меры безопасности

Ни одна из мер не даёт 100% гарантии. Используйте несколько слоёв защиты.

Антивирус и EDR: держите защитные средства включёнными и обновлёнными.
Ограничьте привилегии: запускайте Java-приложения под учётной записью без прав администратора.
Песочницы и виртуальные машины: для сомнительных Java-программ запускайте их в изолированной VM или контейнере.
Мониторинг: логируйте активности, связанные с Java-процессами, и настраивайте оповещения на необычное поведение.
Политики групп (для организаций): централизованно отключайте Java-плагины в браузерах и управляйте списком исключений.

Когда удаление Java невозможно — альтернативы

Если Java необходима по рабочим причинам:

Переведите критичные сервисы с апплетов на современные технологии (HTML5, WebAssembly, серверные решения).
Для клиентских нужд используйте обновляемые контейнери и CI/CD, чтобы своевременно распространять исправления.
Настройте белые списки URL и DNS-фильтрацию, чтобы ограничить доступ к потенциально опасным сайтам.

Чек-листы по ролям

Чек-лист для обычного пользователя:

Удалить Java, если она не нужна
Отключить Java в браузере
Включить автоматические обновления Java
Включить click-to-play для плагинов
Не запускать Java-контент с неизвестных сайтов

Чек-лист для IT-администратора:

Политики групп: отключить Java-плагин по умолчанию
Управляемый список исключений для доверенных сайтов
Мониторинг обновлений и установка патчей в течение 24–72 часов
Развертывание виртуализации/песочницы для старых приложений
Обучение пользователей и инструкции по безопасному использованию Java

Чек-лист для разработчика:

Исключить использование Java-апплетов в веб-интерфейсах
Переписать критичные модули на современные, поддерживаемые стеки
Обеспечить совместимость с безопасными протоколами и TLS
Автоматизировать сборку и тесты безопасности

План реагирования на инцидент (короткая инструкция)

Отключите сеть для затронутого хоста (или изолируйте в VLAN).
Снимите снимки состояния/логи и сохраните их для расследования.
Проанализируйте запущенные Java-процессы и недавние соединения.
Откатите изменения или удалите подозрительное ПО.
Переустановите Java из официального источника и примените все обновления.
Уведомите заинтересованные стороны и, при необходимости, правоохранительные органы.

Диаграмма принятия решения

flowchart TD
  A[Нужна ли Java вообще?] -->|Нет| B[Удалить Java]
  A -->|Да| C[Только настольные приложения?]
  C -->|Да| D[Отключить Java в браузере]
  C -->|Нет| E[Нужна в браузере]
  E --> F[Использовать отдельный браузер с Java]
  F --> G[Включить click-to-play и список доверенных сайтов]
  D --> H[Включить автообновления]
  G --> H
  B --> I[Периодически проверять оставшиеся зависимости]
  H --> J[Мониторинг и правила доступа]

Риск‑матрица и смягчение

Угроза	Вероятность	Последствия	Смягчение
Эксплойт через браузерный плагин Java	Высокая	Критично — удалённое выполнение кода	Отключить Java в браузере, click-to-play, отдельный браузер
Устаревшая версия Java на рабочей станции	Средняя	Средняя — локальный доступ или скачивание	Автоматические обновления, ежедневная проверка
Запуск сомнительных Java-приложений	Средняя	Критично — утечка данных	Запуск в VM/песочнице, минимальные привилегии

Критерии приёмки

Java удалена с неиспользуемых машин.
Во всех браузерах пользователя отключён Java-плагин.
Автоматические обновления включены и проверяются минимум раз в день.
Количество машин с включённым Java в браузере минимально и документировано.

Глоссарий (в одной строке)

Java — платформа и язык программирования, часто требующий JRE/JDK для исполнения.
JavaScript — отдельный язык, встроенный в браузеры, не связанный с Java.
Апплет — Java-программа, запускавшаяся в браузере (устаревшая технология).
JRE — среда выполнения Java (Runtime Environment).
JDK — комплект разработчика Java (Java Development Kit).
Click-to-play — механизм, требующий явного клика для запуска плагина.

Контрольные тесты и приёмка

Попытка загрузить Java-апплет в основном браузере должна быть блокирована.
Вторичный браузер должен запускать апплет только для сайтов из списка доверенных.
Обновления Java должны устанавливаться в течение 72 часов после релиза патча.

Когда те меры не сработают

Если злоумышленник получил административные права, то отключение плагина и обновления могут быть обойдены.
Если приложение на машине требует устаревшей нестабильной версии Java, простые обновления не решат проблему. Здесь нужны изоляция и замена ПО.

Короткое резюме

Java представляет собой постоянный источник риска, особенно через браузерные плагины. Удалите Java, если можете. Если нет — отключите Java в браузерах, используйте отдельный браузер для доверенных сайтов, включите автоматические обновления и применяйте дополнительные слои защиты.

Замечание

Java и JavaScript — разные вещи. Путаница возникла исторически из-за названий, но технически это разные языки и экосистемы.