margin-top: 125px; border: 1px solid gray; } -->

Mozilla údajně zvažuje, že ve Firefoxu zakáže Javu

Pavel Houser , 01. říjen 2011 14:51 0 komentářů

Vývojáři Firefoxu i dalších prohlížečů se snaží ochránit uživatele před útokem, který umožňuje sledovat šifrovanou komunikaci realizovanou přes protokol https/ssl. Pro jaký postup se nakonec rozhodnou?

Firefox
Firefox
(O zranitelnost v SSL viz. díl pravidelného bezpečnostního přehledu.) Exploit proti zranitelnosti nazvaný Beast demonstrovali Thai Duong a Juliano Rizzo. Za méně než dvě minuty se jim podařilo obnovit autentizační cookie, která sloužila pro přístup k účtu PayPal. Útok funguje pomocí javascriptového kódu vsunutého do relace, přičemž základní funkčnost mu dodává javový applet. Ten ovšem výzkumníci nezveřejnili.

Vývojář Firefoxu Brian Smith doporučuje, aby za těchto okolností prohlížeč přestal podporovat Javu a prostě zablokoval veškeré příslušné plug-iny. Mozilla nemá podle něj prostředky pro záplatování těchto plug-inů a opravu by měl vydat Oracle. Zatím však není jasné, jak moc vážně Oracle příslušné riziko bere. Smithův kolega Justin Scott ovšem dodává, že zákaz Javy by řadě uživatelů rozhodně zkomplikoval život; v Javě funguje např. videochat na Facebooku a řada vnitropodnikových aplikací.

Mozilla zvažuje i další možnosti, třeba povolit Javu pouze u výslovně jmenovaných serverů (whitelist). Google postupuje jinak. Nově vydané verze prohlížeče Chrome by měly útoku Beast předcházet generováním náhodných dat během SSL relace, což by útočníkovi mělo podstatně ztížit dešifrovací proces. Výsledkem ale může být nekompatibilita prohlížeče s některými servery. Chrome bude proto třeba zřejmě aktualizovat znovu. Microsoft nabízí pro Internet Explorer několik postupů, jak problém obejít. Společnost údajně také pracuje na vlastní záplatě.


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Útočníci si oblíbili sadu exploitů Lost in Translation

Pavel Houser , 22. srpen 2017 10:21

Studie mapuje vývoj malwaru v České republice a ve světě ve druhém čtvrtletí. ...

Více 0 komentářů

České Radiokomunikace nabízejí i privátní cloud

Pavel Houser , 22. srpen 2017 08:00

Řešení je podle CRA vhodné pro provoz citlivých, náročných a exponovaných aplikací a ukládání citliv...

Více 0 komentářů

LG V30 bude mít displej OLED FullVision

Pavel Houser , 21. srpen 2017 11:42

P-OLED vzniká umísťováním pixelů na plastový substrát, který je mnohem pevnější než skleněná základn...

Více 0 komentářů

Starší zprávičky

Jak funguje byznys na tuzemském YouTube

ČTK , 21. srpen 2017 09:47

Zájem Čechů o sledování videí na YouTube vzrostl letos meziročně o 35 procent. Poptávka se přesouvá ...

Více 0 komentářů

9 z 10 e-shopů nesplnilo zákonné povinnosti

ITBiz.cz , 20. srpen 2017 14:00

Česká obchodní inspekce pravidelně monitoruje dodržování zákonů v oblasti prodeje zboží v e-shopech....

Více 0 komentářů

Lenovo ve ztrátě, k zisku se má vrátit do 2 let

ČTK , 19. srpen 2017 10:12

Firma nevylučuje zdražení svých výrobků, aby udržela ziskové marže....

Více 0 komentářů

Generální ředitel Infosysu nečekaně rezignoval

ČTK , 19. srpen 2017 09:30

Od doby, co Sikka nastoupil do čela firmy, akcie stouply o více než pětinu....

Více 0 komentářů