BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Mozilla正考虑将Java列入黑名单

| 作者 Alex Blewitt 关注 4 他的粉丝 ,译者 贾国清 关注 0 他的粉丝 发布于 2011年10月4日. 估计阅读时间: 2 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

Mozilla基金会公开宣布正考虑在浏览器环境中屏蔽Java代码的执行,最近一项研究表明,Java已成为危害浏览器安全的三大感染源之首。该研究调查了安装有Windows系统的主机是如何被轻而易举攻破的,此举将Java推到了名单之首。在未打补丁的Java运行环境上,缺陷占总体漏洞的37%,紧随其后的分别是Adobe Reader的32%以及Adobe Flash的16%。

开发人员有经常将开发工具升级到最新版本的习惯,但浏览器不会时刻进行Java运行环境的更新,因为是隐含的组件所以升级工作经常会被用户所忽视。尽管浏览器都可以单独设置对Java的禁用,但是一旦系统中发现有Java运行环境(JRE,Java Runtime Environment),便会自动将该功能开启。

自Java伴随Mozilla浏览器出现的那一刻起,Java就变得无处不在,就像将Applets带给大众一样,那时,Java还很少被用在客户端。但这并不意味着没有人会用到:Facebook的聊天功能就是基于Java运行时进行通讯的,或许,此功能会被即将到来的WebSockets协议所替代。

然而,随着BEAST(Browser Exploit Against SSL/TLS)破解技术出现,客户端Java的存在也被推到了舆论的风口浪尖。由于Java插件自身的安全隐患,使得缺陷清单中的建议都建议将Java插件列黑。

虽然BEAST攻击仅限于TLS 1.0(TLS 1.1不受该攻击作用,但还未广泛部署),还是可以通过浏览器中被感染的Java运行环境来嗅探到原始数据包的。

InfoQ已向Oracle询问关于此事的看法,目前还没有得到回应。同时,关于Mozilla将Java插件拉入黑名单之事也还未最后决定。

查看英文原文:Mozilla Considers Blacklisting Java

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT