Portál AbcLinuxu, 23. května 2024 14:31


Mozilla uvažuje o zablokování java pluginu ve Firefoxu

Vývojáři v Mozille v současné době diskutují o zablokování java pluginu od Oracle ve Firefoxu. Ten má být totiž jednou z komponent, které umožňují potenciálnímu útočníku znovu sestavit data i přesto, že byla odeslána přes šifrované spojení.

29.9.2011 19:23 | Migi | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

29.9.2011 22:58 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu
Odpovědět | Sbalit | Link | Blokovat | Admin

Osobně bych uvítal u linuxového java pluginu (debian balík "sun-java6-plugin") zapínací/vypínací zaškrtávátko někde v nastavovacím dialogu, jako to má myslím windows. Osobně javu prakticky nepoužívám a když potřebuji načíst nějaký specifický applet na webu, tak je instalace balíčku a restart prohlížeče trochu nešťastným řešením.

NoScript používám, ale u hodně neznámých stránek musím často dávat "dočasně povolit vše", aby se stránka vůbec zobrazila použitelně -- povolení javy v tomto případě skýtá slušné bezpečnostní riziko. Onehdy jsem chtěl zkusit nějakou benchmark aplikaci na webu Nvidie a byl docela zděšen dočasnými soubory/složkami ve svém domovském adresáři.

29.9.2011 23:47 Sten
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu
Hmm, možná by se hodilo, aby Firefox uměl to, co lze nastavit v Konqueroru nebo rekonqu — místo modulu zobrazí tlačítko „Načíst modul“. Není pro to nějaký doplněk?
30.9.2011 01:46 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu

Ale jo, noscript mi na místě např. flash okýnka zobrazí "cosi" - po kliknutí na tohle "cosi" se teprve stáhne samotný SWF (nebo JAR). Jenomže to není jen tento objekt, ale třeba i celý layout je založen na javascriptu a noscript neumí "povolit jen javascript pro všechno na této stránce / všechno, co odkazuje z této stránky", on to umí jen povolit všechno nebo nic.

30.9.2011 17:43 i6
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu
Kdepak.. nemáš pravdu

Zajdi do nastavení noscriptu -> Embeddings -> Apply these restrictions to whitelisted sites too

Zakliknutí toho oddělí whitelisting javscriptu od objektů (kterých se pak whitelist vůbec netýká)
Pro povolení každého objektu je třeba kliknout
1.10.2011 02:16 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu

Super, díky za tip.

30.9.2011 07:55 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu
povolení javy v tomto případě skýtá slušné bezpečnostní riziko
Jaké? Java Applet normální běží na pískovišti, a pokud má dělat něco potenciálně nebezpečného (třeba přistupovat k souborům na disku), musíte mu při startu appletu potvrdit rozšířená práva.
30.9.2011 08:36 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu
V Bugzille jsou čtyři předpoklady a v následujících komentářích je zpřesněno, jak musí být modul javy a prohlížeč zranitelní. Přenáší-li modul data přes prohlížeč, pak vstupuje do hry zranitelnost xulrunneru, který umožňuje MITM útok na TLS spojení známý pod názvem BEAST. To je chyba, o které se poslední dobou hodně mluví, ale nikde není pořádně vysvětlena. První pokus o vysvětlení BEAST, který jsem zaznamenal před pár dny, je v blogovém zápisku Tor and the BEAST SSL attack.
30.9.2011 13:50 rm -rf
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu
Chapu to tak, ze problem je v tom, ze java applet muze posilat data na server stejne sifrovanym spojenim jako zbytek stranky a pomoci posilani znamych vzoru a nasledneho vypoctu lze odhalit sifrovaci klic.
30.9.2011 13:11 Trained.Monkey | skóre: 12 | blog: monkey
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu
Tohle ma Chromium
30.9.2011 22:28 aceman | skóre: 27
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu
Ved to tam je zabudovane. Vypinanie a zapinanie pluginov vo Firefoxe je v Nastroje -> Doplnky -> Zasuvne moduly. Je mozne ich zapinat podla potreby za behu Firefoxu. Je mozne mat vsetky pluginy (flash, java, mplayer, adobe reader) nainstalovane a zapnut len v pripade potreby.
30.9.2011 15:17 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu
Odpovědět | Sbalit | Link | Blokovat | Admin
ať v něm zakážou celý HTTP(S) a bude po bezpečnostních problémech :)
30.9.2011 21:30 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Mozilla uvažuje o zablokování java pluginu ve Firefoxu
A kdyby ještě přece nějaké zbyly, tak i ftp.
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.