Czy wtyczka do Javy jest taka ważna?   Leave a comment

Mozilla proponuje zablokowanie uruchamiania apletów w javie poprzez  wyłączenie wtyczki java-plugin w swej przeglądarce Firefox (wersja 7 ma ją domyślnie wyłączoną, w starszych wersjach trzeba ja ręcznie wyłączyć). Po co ona była. Wtyczka ta jest analogiem technologii Active X firmy Microsoft zaimplementowanej w IE i pozwala na ściągnięcie z zaufanej witryny na komputer klient poprzez przeglądarkę internetową kodu wykonywalnego, który się uruchamia w środowisku lokalnym stacji roboczej klienta z prawami tego użytkownika. Zabezpieczeniem miało być podpisanie kodu zaufanym certfikatem oraz przestrzeganie zasady pochodzenia kodu z tej samej domeny/witryny (same origin policy). W przypadku ataków hackerów jest możliwe obejście tych zabezpieczeń (najczęściej socjologicznymi trikami). Wtyczka do Javy od dawna udostępnia atakującym wiele okazji do wykorzystania tej metody do wstrzykiwania oprogramowania złośliwego do komputera użytkownika. Wyłączenie je powoduje utratę funkcjonalności wielu witryn.

Jaka z tego nauka? Zrezygnować z uruchamiania kodu ściąganego z internetu.

Reklamy

Posted 30 września 2011 by marekwmsdn in Bezpieczeństwo, Firefox, Java

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

%d blogerów lubi to: