Разработчики Firefox планируют заблокировать Java для предотвращения BEAST-атак
Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик. Представители Firefox хотят выпустить обновление, которое заблокирует работу браузера с платформой Java.
Разработчики Firefox хотят обезопасить пользователей от атак, в результате которых расшифровывается SSL-трафик. Этот протокол используется web-сайтами для защиты от атак "человек посередине". Напомним, что на прошлой неделе двое исследователей представили эксплоит, который позволил за две минуты восстановить зашифрованный cookie-файл, содержащий учетные данные пользователей в системе PayPal. Эксплоит BEAST вводит иньекцию Javascript в SSL-сессию, позволяющую ускорить расшифровку конфиденциальной информации, которая передается в потоке данных.
Разработчики Firefox предлагают заблокировать все версии Java-плагинов. Однако они признают, что перед тем, как осуществить блокировку, нужно провести детальное исследование. Они отмечают, что запрет на Java лишит пользователей возможности учавствовать в чате Facebook, а также использовать различные корпоративные приложения, основанные на Java.
Разработчики заявляют, что у них уже есть механизм для «мягкой блокировки» Java, который позволяет пользователям повторно включить плагины с помощью дополнительных расширений браузера, а также подтверждать включение в сплывающем диалоговом окне.
«Введение функции «нажмите, чтобы просмотреть» или так называемого белого списка, проверенных web-сайтов, будет уместным. Однако в белый список будет добавляться большое количество сайтов , к примеру, Facebook, который из-за своих механизмов (еще даже не существующих) будет подвергать пользователей опасности».
Намерения Firefox отказаться от Java может создать проблемы для корпоративных пользователей, которые используют платформу для работы в браузерах через виртуальные частные сети, использования инструментов интрасети и приложений для работы в режиме web-конференций, к примеру, WebEx от Cisco Systems.
Напомним, что разработчики браузера Google Chrome также выпустили обновления для более надежной защиты информации пользователей от эксплоита BEAST. В основе обновлений версий Google Chrome лежит идея разделения определенных сообщений на фрагменты, чтобы уменьшить воздействие мошенника на текст, который должен быть зашифрован. Такие нововведения в метод шифрования сбивает BEAST с пути дешифрования, добавляя новую информацию. Это обновление стало причиной несовместимости браузера с некоторыми web-сайтами.
www.securitylab.ru