BT

MozillaがJavaをブラックリストに入れることを検討

| 作者: Alex Blewitt フォローする 4 人のフォロワー , 翻訳者 南 伸二 フォローする 0 人のフォロワー 投稿日 2011年10月16日. 推定読書時間: 2 分 |

原文(投稿日:2011/10/03)へのリンク

Mozilla Foundationは公式にブラウザ環境でのJavaを無効化することを検討している。これは、ブラウザにセキュリティ上の弱点を持ち込む要素のトップ3の1つがJavaであることを示す最近の研究結果にもとづくものである。Windowsマシンを容易に危険にさらす方法について調査した最近の研究結果ではそのリストのトップにJavaがあり、パッチがあたっていないJavaランタイム環境(JRE)の問題が脆弱性全体の37%を占めていて、それにAdobe Readerが32%と僅差で続き、Adobe Flashが16%となっている。

開発者はデベロッパーキットを最新のバージョンに更新し続けることが普通だが、ブラウザではJavaランタイム環境はそれほど頻繁に更新されない。一般にJavaランタイム環境は隠れたコンポーネントであり、ユーザが忘れがちだからである。すべてのブラウザはJavaサポートを無効にすることを選択できる一方、多くの場合JREがシステムに見つかると自動的に追加されてしまう。

Javaはそのユビキタス性によって、一度Mozillaブラウザとともに出荷されてしまえばAppletを一般のユーザにもたらすという事実はあるが、今日Javaがクライアント側で使われることはほとんどない。確かにまったく使われていないとは言えない: Javaを通信の手段として利用する実行環境も存在する – Facebookチャットなど – が、WebSocketsプロトコルが出てくればこれらの使われ方も置き換わっていくだろう。

しかしながら、BEAST(Browser Exploit Against SSL/TLS)クラッキング技術により、Javaがクライアント側にあることによって最近その最前線にさらされている。このことが、プラグインそのものによって起こるセキュリティ脆弱性の理由からJavaプラグインをブラックリストに入れるというバグリスト上での提案につながっている。

BEAST攻撃はTLS 1.0に対してしか有効ではなく(TLSバージョン1.1はこの攻撃の影響を受けないが、広く行き渡ってはいない)、最初のパケットスニッフィングのいくつかはブラウザに組み込まれた欠陥のあるJREによって実現されているようだ。

InfoQはOracleにコメントを求めたが、まだ反応を得られていない。MozillaのJavaプラグインをブラックリストに入れることについて特に決定は行われていない。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT