margin-top: 125px; border: 1px solid gray; } -->

Mozilla údajně zvažuje, že ve Firefoxu zakáže Javu

Pavel Houser , 01. říjen 2011 14:51 0 komentářů

Vývojáři Firefoxu i dalších prohlížečů se snaží ochránit uživatele před útokem, který umožňuje sledovat šifrovanou komunikaci realizovanou přes protokol https/ssl. Pro jaký postup se nakonec rozhodnou?

Firefox
Firefox
(O zranitelnost v SSL viz. díl pravidelného bezpečnostního přehledu.) Exploit proti zranitelnosti nazvaný Beast demonstrovali Thai Duong a Juliano Rizzo. Za méně než dvě minuty se jim podařilo obnovit autentizační cookie, která sloužila pro přístup k účtu PayPal. Útok funguje pomocí javascriptového kódu vsunutého do relace, přičemž základní funkčnost mu dodává javový applet. Ten ovšem výzkumníci nezveřejnili.

Vývojář Firefoxu Brian Smith doporučuje, aby za těchto okolností prohlížeč přestal podporovat Javu a prostě zablokoval veškeré příslušné plug-iny. Mozilla nemá podle něj prostředky pro záplatování těchto plug-inů a opravu by měl vydat Oracle. Zatím však není jasné, jak moc vážně Oracle příslušné riziko bere. Smithův kolega Justin Scott ovšem dodává, že zákaz Javy by řadě uživatelů rozhodně zkomplikoval život; v Javě funguje např. videochat na Facebooku a řada vnitropodnikových aplikací.

Mozilla zvažuje i další možnosti, třeba povolit Javu pouze u výslovně jmenovaných serverů (whitelist). Google postupuje jinak. Nově vydané verze prohlížeče Chrome by měly útoku Beast předcházet generováním náhodných dat během SSL relace, což by útočníkovi mělo podstatně ztížit dešifrovací proces. Výsledkem ale může být nekompatibilita prohlížeče s některými servery. Chrome bude proto třeba zřejmě aktualizovat znovu. Microsoft nabízí pro Internet Explorer několik postupů, jak problém obejít. Společnost údajně také pracuje na vlastní záplatě.


Komentáře

RSS 

Komentujeme

Biometrie podle mozku

Pavel Houser , 29. březen 2017 10:00
Pavel Houser

Budou na bankomatech jakási sluchátka pro čtení EEG? Palaniappan Ramaswamy se ve své vědecké práci i...

Více






RSS 

Zprávičky

Uber se kvůli zpřísnění zákona o taxislužbě stahuje z Dánska

ČTK , 29. březen 2017 15:00

Americký provozovatel internetové aplikace pro alternativní taxislužbu Uber Technologies přestane od...

Více 0 komentářů

Kvantové hradlo simuluje přenos kvantových peněz mezi bankami

Pavel Houser , 29. březen 2017 13:00

Vědci z Olomouce jako první ověřili, jak mohou fungovat kvantové peníze. ...

Více 0 komentářů

ČR se v únoru posunula mezi méně bezpečné země

Pavel Houser , 29. březen 2017 11:00

Nejrozšířenější malwarovou rodinou byl v únoru ve světe i v ČR botnet Kelihos. ...

Více 0 komentářů

Starší zprávičky

Musk založil firmu pro propojení lidských mozků s počítači

ČTK , 29. březen 2017 09:30

Neuralink chce vyvíjet mozkové implantáty, které budou přidávat lidem umělou inteligenci.

...

Více 0 komentářů

Váhový software vyžaduje certifikace

Pavel Houser , 29. březen 2017 09:00

Pokladní software myCASH společnosti Kvados uspěl....

Více 0 komentářů

DDoS útoky zločincům v průměru vynášejí

Pavel Houser , 29. březen 2017 08:00

Provedení DDoS útoku stojí pouze 7 dolarů za hodinu (175 Kč), přičemž postižená firma může přijít o ...

Více 0 komentářů

Český prezident měl prý v počítači dětskou pornografii

ČTK , 29. březen 2017 07:00

Pražský hrad se v případě dětské pornografie, kterou podle prezidenta Miloše Zemana někdo nainstalov...

Více 2 komentářů