Mozilla údajně zvažuje, že ve Firefoxu zakáže Javu

Pavel Houser , 01. říjen 2011 14:51 0 komentářů

Vývojáři Firefoxu i dalších prohlížečů se snaží ochránit uživatele před útokem, který umožňuje sledovat šifrovanou komunikaci realizovanou přes protokol https/ssl. Pro jaký postup se nakonec rozhodnou?

Firefox
Firefox
(O zranitelnost v SSL viz. díl pravidelného bezpečnostního přehledu.) Exploit proti zranitelnosti nazvaný Beast demonstrovali Thai Duong a Juliano Rizzo. Za méně než dvě minuty se jim podařilo obnovit autentizační cookie, která sloužila pro přístup k účtu PayPal. Útok funguje pomocí javascriptového kódu vsunutého do relace, přičemž základní funkčnost mu dodává javový applet. Ten ovšem výzkumníci nezveřejnili.

Vývojář Firefoxu Brian Smith doporučuje, aby za těchto okolností prohlížeč přestal podporovat Javu a prostě zablokoval veškeré příslušné plug-iny. Mozilla nemá podle něj prostředky pro záplatování těchto plug-inů a opravu by měl vydat Oracle. Zatím však není jasné, jak moc vážně Oracle příslušné riziko bere. Smithův kolega Justin Scott ovšem dodává, že zákaz Javy by řadě uživatelů rozhodně zkomplikoval život; v Javě funguje např. videochat na Facebooku a řada vnitropodnikových aplikací.

Mozilla zvažuje i další možnosti, třeba povolit Javu pouze u výslovně jmenovaných serverů (whitelist). Google postupuje jinak. Nově vydané verze prohlížeče Chrome by měly útoku Beast předcházet generováním náhodných dat během SSL relace, což by útočníkovi mělo podstatně ztížit dešifrovací proces. Výsledkem ale může být nekompatibilita prohlížeče s některými servery. Chrome bude proto třeba zřejmě aktualizovat znovu. Microsoft nabízí pro Internet Explorer několik postupů, jak problém obejít. Společnost údajně také pracuje na vlastní záplatě.


Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Streamování je poprvé největším zdrojem příjmů hudebního průmyslu

ČTK , 25. duben 2018 09:00

Příjmy hudebního průmyslu se díky streamování začaly zvyšovat po dlouhém období poklesu. ...

Více 0 komentářů

V ČR a na Slovensku se prodá přes milion a půl flash disků

Pavel Houser , 25. duben 2018 08:00

Přitom jen naprosté minimum jich je zabezpečených, uvádí Kingston s ohledem na blížící se platnost G...

Více 0 komentářů

Poskytování IT služeb mění podnikání Konica Minolta

Pavel Houser , 24. duben 2018 10:37

Prudký nárůst tržeb v segmentu IT služeb vedl společnost Konica Minolta ke změně přímého prodeje. ...

Více 0 komentářů

Kalendář

24. 04.

25. 04.
IQRF Summit 2018
25. 04. IT mezi paragrafy 2018
30. 04.

03. 05.
Dell EMC World 2018

Starší zprávičky

Čtvrtletní zisk Googlu výrazně překonal očekávání

ČTK , 24. duben 2018 08:48

Tržby firmy Alphabet se meziročně zvýšily o 26 procent na 31,1 miliardy dolarů....

Více 0 komentářů

EK zkoumá, zda nechá Apple převzít Shazam

ČTK , 24. duben 2018 08:00

Apple by za aplikaci mohl zaplatit asi 400 milionů dolarů....

Více 0 komentářů

Čínská služba pro streamování hudby Tencent míří na burzu

ČTK , 23. duben 2018 11:19

Spotify byla nedávno ohodnocena na 30 miliard dolarů. 25 miliard očekávaných u Tencentu je také obro...

Více 0 komentářů

Obchod s kryptoměnami se stěhuje mimo burzy

ČTK , 23. duben 2018 09:00

Objem obchodování s kryptoměnami je oproti konci roku poloviční....

Více 0 komentářů