李:Java本來在設計上很安全,透過虛擬機器的阻隔,黑客很難寫出程式能夠直接控制用戶的系統,而且更可以做到跨作業系統運作,因此多年以來深得程式編寫人員信賴。有部分翻牆軟件,亦是利用Java來編寫。
只不過,現時美國國土安全部發現黑客可以透過Java程式,直接控制用戶的電腦,那亦即是Java的保安機制失效。中國當局有可能利用這些安全漏洞,在你翻牆期間偷取資料,甚至在你電腦作其他舉動。因此,這次Java的保安風險,對不少中國用戶構成相當大威脅。因此,我們建議聽眾,如果可以的話,暫停使用Java,直至甲骨文公司更新,證實能夠堵塞所有保安漏洞為止。特別要留意,並非甲骨文公司宣稱已經解決問題,就可以放心用Java,應密切留意美國國土安全部的公告。
DC:現時部分翻牆軟件都是基於Java,而現時Java有這樣的保安風險,那身為用戶,那該怎做好?
李:現時依賴Java的翻牆軟件有兩種,一種是跨平台,在桌面電腦上運作的翻牆軟件。由於在桌面電腦上,可以選擇的翻牆軟件相當多,亦可以用作業系統對VPN的支援,因此,在Java開發商甲骨文徹底解決Java的保安漏洞之前,我極不建議聽眾繼續使用以Java為基礎的翻牆軟件,寧願繼續使用VPN或自由門、動態網一類的軟件。
但對於手機用戶,就有可能要被迫繼續使用Java來翻牆,因為Android和iOS以外的平台,很多翻牆軟件都是以Java為基礎運作。一旦停用Java就差不多等於無翻牆軟件可用,對這類型手機用戶,你們可以繼續使用手機來翻牆,但一些高風險的通訊,並不建議透過手機翻牆進行。由於手機的Java都難以更新,有可能乾脆換一部新型號智能手機,是最安全可靠的做法。
DC:除了翻牆軟件,有部分企業,甚至政府的應用軟件,都可以要依賴Java,甚至個別網上銀行服務,都可能要用到Java,那用戶應怎樣考慮?
李:由於這次Java的保安漏洞實在太危險,任何要加密的資料,經過Java編寫的應用程式固然危險,但更令人害怕是漏洞可以讓黑客在你的電腦中執行任何程式,在一些極其重要的應用上,仍然使用Java可謂自招麻煩。
因此,有部分政府服務或銀行服務,如果用到Java的話,那煩請你暫時不要用網上服務,寧願在櫃檯或政府部門進行。一如涉及敏感資料的翻牆動作,並不適宜使用由Java編寫的翻牆軟件進行一樣,政府服務或銀行服務,定必涉及敏感的個人資料,如果仍然由Java去處理,這樣與引狼入室其實並無分別。
DC:有部分主機的網頁,其實都是用Java寫,那用戶能夠避免得到嗎?
李:部分網站,例如JSP技術寫的網站,當中基礎是用Java,這類網站都會受這類保安風險威脅。但網民很難有足夠技術知識判斷網頁是否用Java寫,因此在留個人敏感資料在Java寫成的網頁時,應小心行事。
0:00 / 0:00