Главная » 2011»Октябрь»2 » Разработчики Firefox рассматривают вопрос о полной блокировке Java-функционала
Разработчики Firefox рассматривают вопрос о полной блокировке Java-функционала
16:43
Некоторое время назад независимые исследователи продемонстрировали, как эксплойт-код BEAST
может без особенного труда расшифровать данные, передаваемые по
защищенному Интернет-соединению. Теперь производители браузеров
размышляют над тем, как побороть реализованный в BEAST метод
компрометации данных; специалисты Mozilla, похоже, готовы пойти даже на
весьма радикальные шаги.
Атакующий код Browser Exploit Against SSL/TLS внедряет в SSL-сеанс
особый сценарий на JavaScript; с высокой степенью вероятности
предсказывая возможное расположение защищаемой информации в потоке
данных, его создатели смогли в конечном счете добиться извлечения и
восстановления конфиденциальных сведений. Разработчики популярного
обозревателя Firefox, пытаясь найти «вакцину», похоже, всерьез
задумались о глобальных хирургических мерах: по имеющейся информации, в
числе возможных решений они рассматривают полный отказ от обработки Java
в обозревателе.
По словам специалистов, они понимают, что подобный шаг весьма негативно
повлияет на удобство работы пользователей в Интернете, однако в силу
того, что на данный момент нет никакой информации о возможных контрмерах
со стороны Oracle (которая ответственна за Java), а также по причине
серьезности угрозы, представляемой BEAST-подобными атаками, возможно
внесение всех версий Java-плагина Firefox в стоп-список. Пока что
разработчиков все еще одолевают сомнения, и они взвешивают положительные
и отрицательные стороны обсуждаемого решения.
Заметим, что создатели Google Chrome, например, столь резких мер
принимать не стали. Они придумали другой вариант, который уже
реализовали в тестовой версии своего браузера: сообщения разбиваются на
случайно перемешиваемые фрагменты, так что в случае перехвата и
исследования данных эксплойт-коду и криптоаналитику придется иметь дело
уже не со связным текстом, а с беспорядочным набором данных. Такой
подход, впрочем, вызвал проблемы совместимости с некоторыми веб-сайтами,
и пока не известно, сумеют ли разработчики Google их разрешить.
Занимается этой проблемой и Microsoft, но до сего момента никаких
конкретных вариантов корпорация не предложила; в каком направлении
работают ее специалисты, соответственно, тоже еще не ясно.
Некоторое время назад независимые исследователи продемонстрировали, как эксплойт-код 