iGFW

DC：较早前，美国国土安全部宣布，由于在Java发现严重保安漏洞，因此建议全球用户停用Java。就算甲骨文公司公布了新版的Java，都仍然不够安全。到底这次Java出了什么保安问题，导致全部用户要停用Java？

李：Java本来在设计上很安全，透过虚拟机器的阻隔，黑客很难写出程式能够直接控制用户的系统，而且更可以做到跨作业系统运作，因此多年以来深得程式编写人员信赖。有部分翻墙软件，亦是利用Java来编写。

只不过，现时美国国土安全部发现黑客可以透过Java程式，直接控制用户的电脑，那亦即是Java的保安机制失效。中国当局有可能利用这些安全漏 洞，在你翻墙期间偷取资料，甚至在你电脑作其他举动。因此，这次Java的保安风险，对不少中国用户构成相当大威胁。因此，我们建议听众，如果可以的话， 暂停使用Java，直至甲骨文公司更新，证实能够堵塞所有保安漏洞为止。特别要留意，并非甲骨文公司宣称已经解决问题，就可以放心用Java，应密切留意 美国国土安全部的公告。

DC：现时部分翻墙软件都是基于Java，而现时Java有这样的保安风险，那身为用户，那该怎做好？

李：现时依赖Java的翻墙软件有两种，一种是跨平台，在桌面电脑上运作的翻墙软件。由于在桌面电脑上，可以选择的翻墙软件相当多，亦可以用作业系 统对VPN的支援，因此，在Java开发商甲骨文彻底解决Java的保安漏洞之前，我极不建议听众继续使用以Java为基础的翻墙软件，宁愿继续使用 VPN或自由门、动态网一类的软件。

但对于手机用户，就有可能要被迫继续使用Java来翻墙，因为Android和iOS以外的平台，很多翻墙软件都是以Java为基础运作。一旦停用 Java就差不多等于无翻墙软件可用，对这类型手机用户，你们可以继续使用手机来翻墙，但一些高风险的通讯，并不建议透过手机翻墙进行。由于手机的 Java都难以更新，有可能乾脆换一部新型号智能手机，是最安全可靠的做法。

DC：除了翻墙软件，有部分企业，甚至政府的应用软件，都可以要依赖Java，甚至个别网上银行服务，都可能要用到Java，那用户应怎样考虑？

李：由于这次Java的保安漏洞实在太危险，任何要加密的资料，经过Java编写的应用程式固然危险，但更令人害怕是漏洞可以让黑客在你的电脑中执行任何程式，在一些极其重要的应用上，仍然使用Java可谓自招麻烦。

因此，有部分政府服务或银行服务，如果用到Java的话，那烦请你暂时不要用网上服务，宁愿在柜台或政府部门进行。一如涉及敏感资料的翻墙动作，并 不适宜使用由Java编写的翻墙软件进行一样，政府服务或银行服务，定必涉及敏感的个人资料，如果仍然由Java去处理，这样与引狼入室其实并无分别。

DC：有部分主机的网页，其实都是用Java写，那用户能够避免得到吗？

李：部分网站，例如JSP技术写的网站，当中基础是用Java，这类网站都会受这类保安风险威胁。但网民很难有足够技术知识判断网页是否用Java写，因此在留个人敏感资料在Java写成的网页时，应小心行事。

来源：细节的力量