Mozilla正考虑将Java列入黑名单

作者 Alex Blewitt 译者 贾国清 发布于 2011年10月3日

领域

运维 & 基础架构,

语言 & 开发

主题

Java ,

语言 ,

安全 ,

Firefox ,

编程

分享到

Mozilla基金会公开宣布正考虑在浏览器环境中屏蔽Java代码的执行，最近一项研究表明，Java已成为危害浏览器安全的三大感染源之首。该研究调查了安装有Windows系统的主机是如何被轻而易举攻破的，此举将Java推到了名单之首。在未打补丁的Java运行环境上，缺陷占总体漏洞的37%，紧随其后的分别是Adobe Reader的32%以及Adobe Flash的16%。

开发人员有经常将开发工具升级到最新版本的习惯，但浏览器不会时刻进行Java运行环境的更新，因为是隐含的组件所以升级工作经常会被用户所忽视。尽管浏览器都可以单独设置对Java的禁用，但是一旦系统中发现有Java运行环境（JRE，Java Runtime Environment），便会自动将该功能开启。

自Java伴随Mozilla浏览器出现的那一刻起，Java就变得无处不在，就像将Applets带给大众一样，那时，Java还很少被用在客户端。但这并不意味着没有人会用到：Facebook的聊天功能就是基于Java运行时进行通讯的，或许，此功能会被即将到来的WebSockets协议所替代。

然而，随着BEAST（Browser Exploit Against SSL/TLS）破解技术出现，客户端Java的存在也被推到了舆论的风口浪尖。由于Java插件自身的安全隐患，使得缺陷清单中的建议都建议将Java插件列黑。

虽然BEAST攻击仅限于TLS 1.0（TLS 1.1不受该攻击作用，但还未广泛部署），还是可以通过浏览器中被感染的Java运行环境来嗅探到原始数据包的。

InfoQ已向Oracle询问关于此事的看法，目前还没有得到回应。同时，关于Mozilla将Java插件拉入黑名单之事也还未最后决定。

查看英文原文：Mozilla Considers Blacklisting Java

译者 贾国清 是InfoQ中文站高级策划编辑，热爱生活，喜欢旅游和体育运动。

相关厂商内容

保持某些系统的高可用性，是一些企业的重中之重，如何设计？

海量数据处理，海量视频分发，架构热点难点，尽在架构师峰会！

相关赞助商

ArchSummit全球架构师峰会报名启动！7折优惠，5月31日截止！