Разработчики Firefox планируют заблокировать Java для предотвращения BEAST-атак

image

Теги: Firefox, Java, эксплоит

Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик.

Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик. Представители Firefox хотят выпустить обновление, которое заблокирует работу браузера с платформой Java.  

Разработчики Firefox хотят обезопасить пользователей от атак, в результате которых расшифровывается SSL-трафик. Этот протокол используется web-сайтами для защиты от атак "человек посередине". Напомним, что на прошлой неделе двое исследователей представили эксплоит, который позволил за две минуты восстановить зашифрованный cookie-файл, содержащий учетные данные пользователей в системе PayPal. Эксплоит BEAST вводит иньекцию Javascript в SSL-сессию, позволяющую ускорить расшифровку конфиденциальной информации, которая передается в потоке данных.  

Разработчики Firefox предлагают заблокировать все версии Java-плагинов. Однако они признают, что перед тем, как осуществить блокировку, нужно провести детальное исследование. Они отмечают, что запрет на Java лишит пользователей возможности учавствовать в чате Facebook, а также использовать различные корпоративные приложения, основанные на Java.

Разработчики заявляют, что у них уже есть механизм для «мягкой блокировки» Java, который позволяет пользователям повторно включить плагины с помощью дополнительных расширений браузера, а также подтверждать включение во всплывающем диалоговом окне.

«Введение функции «нажмите, чтобы просмотреть» или так называемого белого списка, проверенных web-сайтов, будет уместным. Однако  в белый список будет добавляться большое количество сайтов , к примеру, Facebook, который из-за своих механизмов (еще даже не существующих) будет подвергать пользователей опасности».  

Намерения Firefox отказаться от Java могут создать проблемы для корпоративных пользователей, которые используют платформу для работы в браузерах через виртуальные частные сети. Также могут возникнуть проблемы с использованием инструментов интрасети и приложений для работы в режиме web-конференций, к примеру, WebEx от Cisco Systems.  

Напомним, что разработчики браузера Google Chrome также выпустили обновления для более надежной защиты информации пользователей от эксплоита BEAST. В основе обновлений версий Google Chrome лежит идея разделения определенных сообщений на фрагменты, чтобы уменьшить воздействие мошенника на текст, который должен быть зашифрован. Такие нововведения в метод шифрования сбивает BEAST с пути дешифрования, добавляя новую информацию. Это обновление стало причиной несовместимости браузера с некоторыми web-сайтами.

или введите имя

CAPTCHA
Страницы: 1  2  
ch
29-09-2011 15:22:32
огнелис и так уже превратили в мезкую какашку, а теперь она и работать не будет. альернативы для меня: midori - скорее всего опера - возможно... хром - никогда (эта сволочь сливает каждый мой клик) ие - не попрет на моей убнте (и слава богу)
0 |
00083
30-09-2011 08:26:09
хром - никогда (эта сволочь сливает каждый мой клик) что что она делает? можно поподробнее)
0 |
доброжелатель
30-09-2011 16:01:34
Да, не сможете Вы пользоваться отличным браузером IE 9 на Вашей убогой "убнте". В этом Вам не "попрёт" - придётся пользоваться всякими хромыми поделиями. Вам не повезло, сочувствую.
0 |
Петрон
01-10-2011 22:02:51
Излишне толстовато, не?
0 |
Нанобот
29-09-2011 16:03:13
так вот и отключали бы яву только для https-трафика
0 |
Гость
30-09-2011 09:19:23
Это как? Вроде вредный java скрипт может жить на странице, открытой в "соседней" вкладке, а не обязательно на той же вкладке, где собственно что-то защищенное (читай https). Или не так?
0 |
вантуз
29-09-2011 16:32:06
для страждущих... http://www.insecure.cl/Beast-SSL.rar
0 |
вантуз
29-09-2011 16:33:51
убрали уже... nah phiral.net/Beast-SSL.rar
0 |
29-09-2011 17:30:33
Качается по первой ссылке >.<
0 |
38667
30-09-2011 13:29:37
Только там пусто.
0 |
Гость
30-09-2011 00:21:59
У них с головой не в порядке. Если новая версия не будет работать с Java - те, кому это надо просто не будут переходить на новую версию несмотря на риски. А это приведет к потере популярности
0 |
Гарик
30-09-2011 02:42:18
Java - это вообще cpань господня, я лично её всегда отключаю, и горя не знаю. А вот без JavaScript'а, увы, никак.
0 |
xfg.virrus
30-09-2011 06:41:07
Тут речь идет не о тебе лично и не о домашнем использование. То что ты дома делаешь всем пофигу, речь о корп.секторе
0 |
73323
30-09-2011 07:24:51
А сист. админы куда смотрят?
0 |
xfg.virrus
30-09-2011 08:29:23
При чем тут МЫ??? Я к тому что не у всех можно отрубить все все все. Скажем бухгалтеру ну как ты вырубишь жабу+активХ? Банк клиент не будет работать( Заставить ходить за баблом в банк? Это же смешно.
0 |
Страницы: 1  2