Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, сообщил (http://seclists.org/fulldisclosure/2013/Jan/241), что активированный по умолчанию в Java SE 7 Update 11 повышенный уровень безопасности, позиционируемый Oracle как панацея от незаметной активации вредоносного кода, на деле бесполезен. Напомним, что в Java SE 7 Update 10 была добавлена поддержка четырёх уровней безопасности, определяющих особенности запуска апплетов, приложений Java Web Start или JavaFX, не содержащих цифровой подписи. В Java SE 7 Update 11 был по умолчанию активирован уровень, требующий обязательного ручного подтверждения перед запуском любого неподписанного апплета. Т.е. при наличии паразитного кода на странице, пользователю теперь должно выводиться предупреждение.Проведённое Адамом исследование показало, что уровни безопасности можно обойти и они эффективны только в теории. На практике же, достаточно быстро удалось найти уязвимость, позволяющую обеспечить выполнение вредоносного ПО даже при активации наивысшего уровня защиты, вообще запрещающего запуск неподписанных апплетов. Используя указанную уязвимость вредоносное ПО как и раньше может запускаться с открытой страницы, абсолютно незаметно для пользователя. По мнению Адама наиболее эффективным способом защиты от выполнения подобных скрытых апплетов является использование предоставляемой некоторыми браузерами функции "Click to Play", включающей плагин только после клика на области связанного с ним контента.
URL: http://seclists.org/fulldisclosure/2013/Jan/241
Новость: http://www.opennet.ru/opennews/art.shtml?num=35941
Опять любителям кактусовой диеты слабительного подкинули ))))
некоторые браузеры гораздо лучше защищены от явы
Особенно те где она не инсталлирована.
Пора создавать отдельный раздел для новостей по сабжу.
и да, моё отношение к новости - по новости triple facepalm
кто "заказал" Яву?!
Это несколько разработчиков из Sun смотрят в свой старый код, находят баги и раз в месяц, ухохатываясь, пишут очередной эксплойт.
с такими знаниями они прогдяться FBR
Кому-кому они "прогдяться"?
а кто это такие? (FBR)
Facebook & Reddit, очевидно же.
Это такой способ PR. Все понимают, что Java - развивающаяся технология, что баги находтяся и лечатся.
P.S. Кто удаляет мои сообщения? Что такого плохого в них? Можно ссылку на правила, где нарушения?
Они провоцируют срач.
Обращайтесь к Михаилу, просто модератором припекло за любимую явку (оценочное суждение).
Ну тогда можно тупо отключить комменты и не парить мозг. Все довольны, счастье.
> Ну тогда можно тупо отключить комменты и не парить мозг. Все довольны,
> счастье.ну как же можно так :-) не погладить свое ЧСВ....
> Обращайтесь к МихаилуЕсли про меня -- не-а, сейчас разгребаюсь после зимней альтовской конференции. Так что лучше http://www.opennet.ru/contact.shtml
2 всё_тот_же_бывший_ораклоид re #32: опять промахнулись, ругань удаляется в первую голову. Хотите помочь -- средство сообщения о не соответствующих правилам форума сообщениях знаете.
не ищи логики в действиях Шигорина.
Ее там просто нет - все что обижает нежную душу этого человека удаляется.
И тут уж не важно - по делу или без...Когда его любимые artsu/амноним - других обзывают дебилами - это остается в истории.
Стоит указать не технические пробелы в Linux - это стирается..
Как-то так..
Буквально сегодня словил вирус. Хорошо, что Comodo изолировала и спросила, что с ним делать... Смотрю в логах, откуда взялся - а вызвавшее его приложение java.....В общем, для Opera действительно лучший рецепт - включить Enable On Demand Plugin.
Это хорошо, что взялись ломать по-серьёзному. Глядишь, через несколько лет в Java будет пуленепробиваемая защита того же уровня, что и в Jail FreeBSD.
Наконец-то введут обязательную подпись апплетов (предтеча технических средств DRM) и последующая деанонимизация авторов кода (через PKI это естественно) сделает написание зловредов на Java бессмысленным занятием.
не, не получается у тебя сохранить лицо при плохой игре.
>уровни безопасности можно обойти и они эффективны только в теории.
>На практике же … быстро удалось найти уязвимость … даже при активации наивысшего уровня защитыопа получается.
Скорее джава будет заблочена апдейтами во всех нормальных браузерах, чем защиту доведут до ума.
> Скорее джава будет заблочена апдейтами во всех нормальных браузерах, чем защиту доведут до ума.Приложения Java Web Start и JavaFX — довольно серьёзный сектор корпоративного (B2B) софта. Апплеты — унифицированный способ обеспечения аутентификации и авторизации пользователей в банковских системах обслуживания (B2C). Так что вряд ли заблочат.
Я для себя эту проблему решил деверсификацией браузеров. Для банков - Chrome (и его ни для чего больше не запускаю), для gmail - firefox (чтобы не висеть авторизованным при поиске на гугле), для всего остального - Opera.В банке Авангард есть флешка с ключом. В момент, когда надо подписать - запускается java-апплет, но работающий только под виндовс и только для того, чтобы создать на системном диске директорию avn_ib со своей программой. И это вместо вcтроенного механизма Security Devices, который штатно присутствует в Firefox. Ну или хотя бы использовать плагины для любых ОС/браузеров, включая линуксы, как делает Рутокен. Ну и зачем такие поделки нужны?
> Я для себя эту проблему решил деверсификацией браузеров. Для банков - Chrome
> (и его ни для чего больше не запускаю)По-моему, Chrome — это часть гугловского ботнета. Лично я опасаюсь проводить с помощью него хоть какие-то банковские транзакции и операции с крединтными картами.
>, для gmail - firefox (чтобы не висеть авторизованным при поиске на гугле), для всего остального - Opera.
Логично.
> В банке Авангард есть флешка с ключом. В момент, когда надо подписать
> - запускается java-апплет, но работающий только под виндовс и только для
> того, чтобы создать на системном диске директорию avn_ib со своей программой.
> И это вместо вcтроенного механизма Security Devices, который штатно присутствует в
> Firefox. Ну или хотя бы использовать плагины для любых ОС/браузеров, включая
> линуксы, как делает Рутокен. Ну и зачем такие поделки нужны?Спросите поставщиков услуг, использующих эти решения. Они лучше знают, зачем.
> По-моему, Chrome — это часть гугловского ботнета. Лично я опасаюсь проводить с помощью него хоть какие-то банковские транзакцииСудя по сабжу, жаба бот-нет не только оракла, но и кого угодно.
> В банке Авангард есть флешка с ключом. В момент, когда надо подписать
> - запускается java-апплет, но работающий только под виндовс и только для
> того, чтобы создать на системном диске директорию avn_ib со своей программой.У меня тоже есть такая же флешка того же банка. Ответственно заявляю, что постоянное пользовался этим апплетом под Ubuntu и никаких проблем. Единственное - под Ubuntu у меня стоит Java оригинальная от Oracle, а не OpenJDK, которая по умолчанию в Ubuntu. Может у Вас в этом загвоздка? Проверено на практике - OpenJDK по поведению довольно сильно отличается от Oracle Java, особенно при использовании Swing (хотя в данном апплете он не используется).
Только вот у меня загвоздка в том, что на моей рабочей машине под виндовс 7 после обновления джавы до 11 апдейта апплеты перестали запускаться вообще и в хроме, и в файерфоксе, смог подписать банковскую платежку только из-под IE! Это вообще-то не есть гуд, может кто что с этим делать?
Можно. Пишите ваш ойпи.
:)
> Можно. Пишите ваш ойпи.Поясните для тех кто не в теме, обычный пользователь я )
> Можно. Пишите ваш ойпи.127.0.0.1
>> Можно. Пишите ваш ойпи.
> 127.0.0.1Классический одмин вин-локалхоста пожаловал
В конторах банк-клиенты только у бухов есть. И то не у всех на джаве.
И сколько народа должно пострадать ради некоторых?
> Апплеты — унифицированный способ обеспечения аутентификации и авторизации пользователей в банковских системах обслуживания (B2C).Боже, храни нас.
> Это хорошо, что взялись ломать по-серьёзному. Глядишь, через несколько лет в Java
> будет пуленепробиваемая защита того же уровня, что и в Jail FreeBSD.
> Наконец-то введут обязательную подпись апплетов (предтеча технических средств DRM) и последующая
> деанонимизация авторов кода (через PKI это естественно) сделает написание зловредов на
> Java бессмысленным занятием.iZen, ты хоть читал? если производитель срочно не залатает то всей концепции апплетов хана.
Будешь потом только для серверов писать, ну может и не плохо.
>> Это хорошо, что взялись ломать по-серьёзному. Глядишь, через несколько лет в Java
>> будет пуленепробиваемая защита того же уровня, что и в Jail FreeBSD.
>> Наконец-то введут обязательную подпись апплетов (предтеча технических средств DRM) и последующая
>> деанонимизация авторов кода (через PKI это естественно) сделает написание зловредов на
>> Java бессмысленным занятием.
> iZen, ты хоть читал? если производитель срочно не залатает то всей концепции
> апплетов хана.Хана — концепции неподписанных апплетов и приложений. Так туда им и дорога!
Для подписанных — всё остаётся в силе и работает как надо.> Будешь потом только для серверов писать, ну может и не плохо.
Хотелось бы писать.
> > Будешь потом только для серверов писать, ну может и не плохо.
>Хотелось бы писать.Хм, тогда слезь со своей хп (о которой ты писал) и займись делом.
Ораклу на всех плевать, он делает вид что работет.
Понаобретал крупных копаний и ничего н делает
Оракл, - самые дорогие FAIL за всю индустрию
Про Windows Phone 7 уже забыли?
Интересно, если он поступил на работу в оракл, то помогло бы это делу, или помогло бы дело то, если бы оракл открыл джаву и начал работать с сообществом.
Если бы он работал с сообществом это не нагнетало бы работу разработчикам.
Теперь все должны думать об альтернативах
Тот же андроид использует запускаемую java в прилжениях