Разработчики Firefox планируют заблокировать Java для предотвращения BEAST-атак

image

Теги: Firefox, Java, эксплоит

Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик.

Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик. Представители Firefox хотят выпустить обновление, которое заблокирует работу браузера с платформой Java.  

Разработчики Firefox хотят обезопасить пользователей от атак, в результате которых расшифровывается SSL-трафик. Этот протокол используется web-сайтами для защиты от атак "человек посередине". Напомним, что на прошлой неделе двое исследователей представили эксплоит, который позволил за две минуты восстановить зашифрованный cookie-файл, содержащий учетные данные пользователей в системе PayPal. Эксплоит BEAST вводит иньекцию Javascript в SSL-сессию, позволяющую ускорить расшифровку конфиденциальной информации, которая передается в потоке данных.  

Разработчики Firefox предлагают заблокировать все версии Java-плагинов. Однако они признают, что перед тем, как осуществить блокировку, нужно провести детальное исследование. Они отмечают, что запрет на Java лишит пользователей возможности учавствовать в чате Facebook, а также использовать различные корпоративные приложения, основанные на Java.

Разработчики заявляют, что у них уже есть механизм для «мягкой блокировки» Java, который позволяет пользователям повторно включить плагины с помощью дополнительных расширений браузера, а также подтверждать включение во всплывающем диалоговом окне.

«Введение функции «нажмите, чтобы просмотреть» или так называемого белого списка, проверенных web-сайтов, будет уместным. Однако  в белый список будет добавляться большое количество сайтов , к примеру, Facebook, который из-за своих механизмов (еще даже не существующих) будет подвергать пользователей опасности».  

Намерения Firefox отказаться от Java могут создать проблемы для корпоративных пользователей, которые используют платформу для работы в браузерах через виртуальные частные сети. Также могут возникнуть проблемы с использованием инструментов интрасети и приложений для работы в режиме web-конференций, к примеру, WebEx от Cisco Systems.  

Напомним, что разработчики браузера Google Chrome также выпустили обновления для более надежной защиты информации пользователей от эксплоита BEAST. В основе обновлений версий Google Chrome лежит идея разделения определенных сообщений на фрагменты, чтобы уменьшить воздействие мошенника на текст, который должен быть зашифрован. Такие нововведения в метод шифрования сбивает BEAST с пути дешифрования, добавляя новую информацию. Это обновление стало причиной несовместимости браузера с некоторыми web-сайтами.

comments powered by Disqus