ปัญหาความปลอดภัยที่เกิดจากช่องโหว่ของ Java กลายเป็นเรื่องซีเรียส เราเห็นข่าวการโจมตีด้วยช่องโหว่ของ Java เป็นวงกว้าง และขนาดบริษัทไอทีรายใหญ่ทั้ง Twitter และ Facebook ก็ยังไม่รอด ต่างก็โดนแฮ็กเพราะ Java ในเครื่องของพนักงาน
บทความนี้จึงเขียนขึ้นเพื่อสอนวิธีป้องกันตัวจากการโจมตีผ่านช่องโหว่ของ Java ที่อาจติดตั้งอยู่ในเครื่องของผู้อ่านอยู่แล้ว โดยเน้นผู้อ่านกลุ่ม end-user ที่อาจไม่ทราบข้อมูลเรื่อง Java มากนัก
นิยามของคำว่า Java นั้นกว้างมาก แต่ในแง่การใช้งานคงหนีไม่พ้นตัวโปรแกรม Java Runtime Environment (ตัวย่อ JRE หรือที่หลังๆ ออราเคิลพยายามใช้คำว่า Java SE แทน) ที่ติดตั้งอยู่ในคอมพิวเตอร์ของผู้ใช้ เพื่อให้คอมพิวเตอร์เครื่องนั้นรันโปรแกรมที่เขียนด้วย Java ได้
อย่างไรก็ตาม โปรแกรมที่เขียนด้วย Java สามารถแบ่งได้เป็น 2 ประเภทใหญ่ๆ
จุดที่เป็นปัญหาเรื่องความปลอดภัยคือ Java applet เนื่องจากมันไม่ต้องผ่านกระบวนการติดตั้ง (install) ตัวเองลงในเครื่องของผู้ใช้ เพียงแค่เอาเบราว์เซอร์ที่ติดตั้ง Java plug-in ไปเปิดเว็บที่ฝัง applet เอาไว้ก็ใช้งานได้แล้ว
ตามปกติแล้ว applet ทำงานได้เฉพาะบนเว็บเบราว์เซอร์เท่านั้น ระบบความปลอดภัยของ Java จะกรองไว้ไม่ให้ทำอะไรได้มากกว่านั้น (และเมื่อปิดหน้านั้นทิ้ง โปรแกรม applet ก็จะหายไปด้วย) แต่แฮ็กเกอร์ใช้ช่องโหว่ของ Java plug-in ช่วยให้ applet ประสงค์ร้ายมีอำนาจติดตั้งตัวเองลงในเครื่องได้ด้วย โดยที่ผู้ใช้ไม่รู้ตัว
วิธีการป้องกันตัวจึงเป็นการ "ปิดการทำงาน" ของ Java ในส่วนที่ 2 เฉพาะที่ทำงานบนเบราว์เซอร์ เพื่อป้องกันการติดมัลแวร์หรือโดนแฮ็กขณะที่เราท่องเน็ตอยู่นั่นเอง (หรือถ้าใครจะลบ Java ออกไปจากเครื่องเลย ก็สามารถทำได้ผ่านวิธี Uninstall ตามปกติ)
หมายเหตุ: Java เป็นคนละอย่างกับ JavaScript ไม่มีอะไรเหมือนกันเลยยกเว้นชื่อ
อย่างแรกสุดที่ต้องทำคือ ตรวจสอบว่า Java ในเครื่องของเราเป็นเวอร์ชันล่าสุด (ที่ปิดช่องโหว่ต่างๆ ไปแล้ว) หรือไม่ โดยดูจากโปรแกรม Java Control Panel ที่ลงอยู่ในเครื่องของเราแล้ว
วิธีการเรียก Java Control Panel ต่างกันไปในแต่ละระบบปฏิบัติการ ดังนี้
เมื่อเรียก Java Control Panel ขึ้นมาได้แล้ว จะเห็นหน้าจอดังภาพ
กดที่ปุ่ม About เพื่อดูเลขเวอร์ชันของ Java ที่ติดตั้งอยู่ในเครื่อง
ขณะที่เขียนบทความนี้ Java เวอร์ชันล่าสุดคือ 7u13 หรือ Java 7 Update 13 (สามารถตรวจสอบเลขเวอร์ชันล่าสุดได้จากเว็บไซต์ Java) ถ้าเวอร์ชันของเราเก่ากว่านี้ ให้ดาวน์โหลดเวอร์ชันล่าสุดมาติดตั้งก่อน
เมื่อ Java ของเราเป็นเวอร์ชันล่าสุดแล้ว ให้เข้าไปที่ Java Control Panel อีกครั้ง แล้วเลือกแท็บ Security ดังภาพ
เอาเครื่องหมายถูกตรงคำว่า Enable Java content in the browser (จุดที่ล้อมไว้ด้วยสีแดง) ออก แล้วกด OK/Apply เป็นอันเสร็จพิธี (วินโดวส์รุ่นใหม่ๆ อาจต้องกดตกลงผ่าน UAC ด้วยอีกชั้นหนึ่ง)
ปิดการทำงานของเบราว์เซอร์ทุกตัว แล้วเปิดเว็บเบราว์เซอร์ใหม่ เข้าไปยังหน้า Verify Java Version เพื่อทดสอบว่าเบราว์เซอร์ของเรายังใช้งาน Java ได้หรือไม่ ถ้าพบกับคำว่า "We are unable to verify if Java is currently installed and enabled in your browser." (ตามภาพด้านล่าง) แปลว่าเบราว์เซอร์รัน Java ไม่ได้แล้ว ถือว่ากระบวนการปิด Java เสร็จสมบูรณ์
หมายเหตุ: วิธีการนี้ใช้ได้กับ Java 7u10 ขึ้นไปเท่านั้น
ข้อมูลอ้างอิงจาก Java.com: How do I disable Java in my web browser?
ในกรณีที่ Java ไม่ได้เป็นเวอร์ชันล่าสุด และไม่ต้องการอัพเดต (ซึ่งไม่แนะนำ) เราสามารถสั่งปิด Java ได้เช่นกัน แต่จะลำบากหน่อยเพราะต้องไปไล่ปิดการทำงานของ Java plug-in ในเบราว์เซอร์แต่ละตัวเอง
Firefox
ข้อมูลอ้างอิง: Mozilla Support
Chrome
ข้อมูลอ้างอิง: Chrome Help
Internet Explorer
Safari
ข้อมูลอ้างอิง: Apple Support
Opera