Por mais que tenha grandes méritos entre diversos programadores, seja parcialmente aberto e ofereça grandes capacidades de desenvolvimento multiplataforma, o Java tem sérios problemas na maioria de suas implementações no lado cliente. Com frequencia aparecem vulnerabilidades graves, que podem permitir que invasores tomem conta de computadores apenas pelo fato da vítima visitar um site malicioso. Isso era mais comum do que pode parecer: antigamente os navegadores não adotavam políticas claras sobre os plugins, deixando-os ativos o tempo todo sem fazer um carregamento sob demanda (com pedido de autorização, como é comum hoje).
Os problemas do Java quase sempre podem ser explorados em diversas plataformas. Windows lidera, claro, sendo o sistema mais popular nos desktops. OS X, sistema tido como seguro por boa parte dos seus usuários, também enfrenta sérios problemas. No que toca a algumas vulnerabilidades do Java no navegador, nem o Linux escapa. Boa parte dos problemas são possíveis por meio de plugins, ativos o tempo quase todo. Plugins vulneráveis, cujas correções podem demorar várias semanas (ou meses!) para aparecer. Tudo depende dos desenvolvedores e da publicidade da falha. Falhas sérias mas pouco divulgadas podem ser utilizadas por diversos malwares específicos durante um bom tempo, causando danos graves enquanto as vulnerabilidades persistirem abertas. Uma busca por “java vulnerability” no Google até assuta, dada a popularidade do cliente Java. Virou até rotina que ninguém mais se surpreende quando uma nova vulnerabilidade é publicada. Pouco adianta manter firewall e antivírus se um software residente que é atualizado com frequencia também apresenta vulnerabilidades fresquinhas a todo instante.
Dados diversos problemas recorrentes, a Apple decidiu tomar uma medida mais radical agora. Uma atualização liberada nesta semana desativa o plugin do Java para todos os navegadores, ao atualizar o Java para a versão 1.6.0_37.
Quem quiser usar o Java em applets web depois da atualização precisará baixar o plugin diretamente da Oracle. Isso pode significar menos problemas para a Apple, que deixa de se responsabilizar por falhas num software de terceiro, e mais segurança para os usuários, já que o Java na web só será executado caso instalem o Java da Oracle (conscientemente, de preferência).
A atualização que remove um recurso pode até ser controversa, mas tem lá seus motivos, e bons motivos. Assim o OS X fica mais seguro. Independente da plataforma, bom seria manter o Java apenas quem realmente dependesse dele. E o Flash não fica muito atrás não.
Com o grande histórico de falhas, manter o plugin do Java em ambientes de uso sério pode ser assustador. A recomendação seria removê-lo completamente, utilizando uma máquina virtual quando fosse necessário. Nos PCs de hoje, com 2, 4 ou mais GB de RAM não é difícil rodar máquinas virtuais para tarefas específicas, algo bem diferente de alguns anos atrás quando a maioria dos computadores sequer tinham 1 GB de memória. VirtualBox, VMware (o VMware Player é gratuito e permite criar máquinas virtuais), KVM e outros estão aí para ajudar. Uma máquina virtual é segura o bastante para quase todos os tipos de atividades, isolando tudo do seu sistema principal. Por exemplo, um malware instalado na máquina virtual não acessa os arquivos do seu computador real, a menos que estes tenham sido compartilhados com a VM.
Ainda assim, esteja ciente de que é praticamente impossível garantir 100% de segurança: um software de máquina virtual vulnerável poderia permitir que um aplicativo malicioso no guest ganhasse controle do host. Apesar de muito raro, a possibilidade não deve ser descartada 😛
E como usar o plugin do Java no Mac agora?
No caso da atualização do Java no OS X, usuários do Lion e Mountain Lion reportam falhas no acesso a sites de bancos. Claro, uma peça que vários sites de bancos dependem foi removida. É necessário ir ao java.com e fazer o download por conta própria.
Muitos bancos oferecem aplicativos oficiais para smartphones e tablets. Se você não quiser manter o Java a todo custo, pode ser uma boa saída. Ou não, sabe-se lá.
