Mozilla proponuje zablokowanie uruchamiania apletów w javie poprzez wyłączenie wtyczki java-plugin w swej przeglądarce Firefox (wersja 7 ma ją domyślnie wyłączoną, w starszych wersjach trzeba ja ręcznie wyłączyć). Po co ona była. Wtyczka ta jest analogiem technologii Active X firmy Microsoft zaimplementowanej w IE i pozwala na ściągnięcie z zaufanej witryny na komputer klient poprzez przeglądarkę internetową kodu wykonywalnego, który się uruchamia w środowisku lokalnym stacji roboczej klienta z prawami tego użytkownika. Zabezpieczeniem miało być podpisanie kodu zaufanym certyfikatem oraz przestrzeganie zasady pochodzenia kodu z tej samej domeny/witryny (same origin policy). W przypadku ataków hackerów jest możliwe obejście tych zabezpieczeń (najczęściej socjologicznymi trikami). Wtyczka do Javy od dawna udostępnia atakującym wiele okazji do wykorzystania tej metody do wstrzykiwania oprogramowania złośliwego do komputera użytkownika. Wyłączenie je powoduje utratę funkcjonalności wielu witryn.
Jaka z tego nauka? Zrezygnować z uruchamiania kodu ściąganego z internetu.
Brak komentarzy:
Prześlij komentarz