Czy wtyczka do Javy jest taka ważna?   Leave a comment

Mozilla proponuje zablokowanie uruchamiania apletów w javie poprzez  wyłączenie wtyczki java-plugin w swej przeglądarce Firefox (wersja 7 ma ją domyślnie wyłączoną, w starszych wersjach trzeba ja ręcznie wyłączyć). Po co ona była. Wtyczka ta jest analogiem technologii Active X firmy Microsoft zaimplementowanej w IE i pozwala na ściągnięcie z zaufanej witryny na komputer klient poprzez przeglądarkę internetową kodu wykonywalnego, który się uruchamia w środowisku lokalnym stacji roboczej klienta z prawami tego użytkownika. Zabezpieczeniem miało być podpisanie kodu zaufanym certfikatem oraz przestrzeganie zasady pochodzenia kodu z tej samej domeny/witryny (same origin policy). W przypadku ataków hackerów jest możliwe obejście tych zabezpieczeń (najczęściej socjologicznymi trikami). Wtyczka do Javy od dawna udostępnia atakującym wiele okazji do wykorzystania tej metody do wstrzykiwania oprogramowania złośliwego do komputera użytkownika. Wyłączenie je powoduje utratę funkcjonalności wielu witryn.

Jaka z tego nauka? Zrezygnować z uruchamiania kodu ściąganego z internetu.

Posted 30 Wrzesień 2011 by marekwmsdn in Bezpieczeństwo, Firefox, Java

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

%d bloggers like this: