Mozilla údajně zvažuje, že ve Firefoxu zakáže Javu

Pavel Houser , 01. říjen 2011 14:51 0 komentářů

Vývojáři Firefoxu i dalších prohlížečů se snaží ochránit uživatele před útokem, který umožňuje sledovat šifrovanou komunikaci realizovanou přes protokol https/ssl. Pro jaký postup se nakonec rozhodnou?

Firefox
Firefox
(O zranitelnost v SSL viz. díl pravidelného bezpečnostního přehledu.) Exploit proti zranitelnosti nazvaný Beast demonstrovali Thai Duong a Juliano Rizzo. Za méně než dvě minuty se jim podařilo obnovit autentizační cookie, která sloužila pro přístup k účtu PayPal. Útok funguje pomocí javascriptového kódu vsunutého do relace, přičemž základní funkčnost mu dodává javový applet. Ten ovšem výzkumníci nezveřejnili.

Vývojář Firefoxu Brian Smith doporučuje, aby za těchto okolností prohlížeč přestal podporovat Javu a prostě zablokoval veškeré příslušné plug-iny. Mozilla nemá podle něj prostředky pro záplatování těchto plug-inů a opravu by měl vydat Oracle. Zatím však není jasné, jak moc vážně Oracle příslušné riziko bere. Smithův kolega Justin Scott ovšem dodává, že zákaz Javy by řadě uživatelů rozhodně zkomplikoval život; v Javě funguje např. videochat na Facebooku a řada vnitropodnikových aplikací.

Mozilla zvažuje i další možnosti, třeba povolit Javu pouze u výslovně jmenovaných serverů (whitelist). Google postupuje jinak. Nově vydané verze prohlížeče Chrome by měly útoku Beast předcházet generováním náhodných dat během SSL relace, což by útočníkovi mělo podstatně ztížit dešifrovací proces. Výsledkem ale může být nekompatibilita prohlížeče s některými servery. Chrome bude proto třeba zřejmě aktualizovat znovu. Microsoft nabízí pro Internet Explorer několik postupů, jak problém obejít. Společnost údajně také pracuje na vlastní záplatě.


Komentáře

RSS 

Komentujeme

Jak probíhá adopce cloudu

Pavel Houser , 16. únor 2018 09:45
Pavel Houser

Cloud už neznamená jen SaaS, jenže… K dispozici je řada analýz i prognóz, které dokládají, jak se po...

Více








RSS 

Zprávičky

ABB uvádí software pro transformaci energetických podniků

Pavel Houser , 20. únor 2018 12:22

ABB na konferenci DistribuTECH představila software ABB Ability Ellipse pro podporu digitalizace. ...

Více 0 komentářů

V Česku vznikne satelitní centrum pro armádní rozvědku a NATO

ČTK , 20. únor 2018 11:38

Centrum bude získávat a zpracovávat fotografie i radarové snímky z družic....

Více 0 komentářů

Soud zrušil milionové pokuty pro mobilní operátory

ČTK , 20. únor 2018 10:16

Případ se táhne už zhruba 15 let. Týká se společností T-Mobile a Oskar (předchůdce Vodafonu)....

Více 0 komentářů

Starší zprávičky

E-shopy likvidují už i kamenné obchody s obuví

ČTK , 19. únor 2018 13:13

Problémy mají i řetězce. Lidé si on-line objednávají šest párů bot, jedny si nechají a ostatní pošlo...

Více 1 komentářů

O2 navrhne valné hromadě výplatu akcionářům 21 Kč na akcii

ČTK , 19. únor 2018 08:00

Celkově by firma vyplatila na dividendách 5,274 miliardy Kč, tedy 98 % loňského čistého zisku....

Více 0 komentářů

Piezoelektrický jev u jednotlivých molekul umožní nanogenerátory elektrické energie

Pavel Houser , 18. únor 2018 08:00

Piezoelektrický jev odpovídá za vznik elektrického napětí v závislosti na vnějším mechanickém namáhá...

Více 0 komentářů

Také USA obvinily Rusko, že má na svědomí velký loňský kyberútok

ČTK , 17. únor 2018 08:00

Po Británii i Spojené státy obvinily ruskou vládu, že stojí za vlnou kybernetických útoků, která lon...

Více 2 komentářů