В связи с появлением в сети рабочих экслоитов, поражающих все доступные версии Java, и отсутствие обновлений с устранением уязвимости (http://www.opennet.ru/opennews/art.shtml?num=35804), разработчики Mozilla приняли решение (https://blog.mozilla.org/security/2013/01/11/protecting-user.../) внести все версии Java, вплоть до последних выпусков 7u10 и 6u38, в чёрный список (https://addons.mozilla.org/en-US/firefox/blocked/) дополнений, блокируемых по умолчанию в Firefox. У пользователей по прежнему останется возможность открытия Java-апплетов, но для этого теперь потребуется вручную согласиться с намерением активировать потенциально опасный контент на странице.<center><img src="http://www.opennet.ru/opennews/pics_base/0_1357929686.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center>
URL: https://blog.mozilla.org/security/2013/01/11/protecting-user.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=35814
Нравится такая забота и включить можно, если что.
Но я так и не смог найти ответа, откуда Жаба берётся на огромной куче хомяковых десктопов.
> Но я так и не смог найти ответа, откуда Жаба берётся на огромной куче хомяковых десктопов.Есть мнение, что из коробки.
Не встречал такого.
Коробки с чем? С жабами? oO
>> Но я так и не смог найти ответа, откуда Жаба берётся на огромной куче хомяковых десктопов.
> Есть мнение, что из коробки.Аналисты с опеннета, как всегда, за пределами своих личных 17 дюймов нихер@ не видят и не знают.
Ты так-то в курсях, что есть ВАЛОМ сайтов, которые ТРЕБУЮТ при входе установить Жабу, проверяя ее наличие, что совсем не трудно? Ибо она им ТРЕБУЕТСЯ.
Речь шла о хомячковых сайтах. Я таких не встречал. Правда, в браузерные игры не играю.
> Аналисты с опеннета, как всегда, за пределами своих личных 17 дюймов нихер@ не видят и не знают.
> Ты так-то в курсях, что есть ВАЛОМ сайтов, которые ТРЕБУЮТ при входе установить Жабу, проверяя ее наличие, что совсем не трудно? Ибо она им ТРЕБУЕТСЯ.Иксперты с опеннета, как всегда, за пределами своих личных г0вносайтов, которым в 2013 году ТРЕБУЕТСЯ жаба, нихер@ не видят и не знают.
Ты так-то в курсе, что на хомячковые компьютеры жабу предустанавливают вместе с виндой?
> Ты так-то в курсе, что на хомячковые компьютеры жабу предустанавливают вместе с виндой?Пользовался виндой почти 5 лет, за все время у меня жабы стояли не более нескольких месяцев.
> Нравится такая забота и включить можно, если что.
> Но я так и не смог найти ответа, откуда Жаба берётся на
> огромной куче хомяковых десктопов.Когда прочитал вчера новость о дыре в Java полез посмотреть настройки Firefox и с большим удивлением обнаружил, что стоит Java-плагин IcedTea. После установки Ubuntu специльно отключил все плагины и предустановленные дополнения. Но IcedTea каким-то чудом включился без спросу, возможно после какого-то обновления или установки пакета.
Пока встречается софт, написанный на жабе, будет стоять и жаба. Но вот браузерный плагин я у себя давно удалил, чего и всем советую. Надобность в нем намного меньшая, чем в десктопной жабе, а большинство дряни пролезает именно через дыры в нем.
Я установил ради майнкрафтика и JDownloader.
> Нравится такая забота и включить можно, если что.
> Но я так и не смог найти ответа, откуда Жаба берётся на
> огромной куче хомяковых десктопов.С каким-нибудь софтом ставится. Не обязательно из браузера, но при установке не забывает плаги(ны) воткнуть. Сейчас это реже происходит, потому что немногие уже верят во 'write once' и пихают подходящую версию jvm в дистрибутив софта.
>> Нравится такая забота и включить можно, если что.
>> Но я так и не смог найти ответа, откуда Жаба берётся на
>> огромной куче хомяковых десктопов.
> С каким-нибудь софтом ставится.JRE нужна для libbluray для воспроизведения блюрей с меню и jakarta-commons-httpclient для OpenOffice.
Порносайты же.
> Порносайты же.На каком таком порносайте вы Java видели? Там Flash, собственно как и на остальных видеохостингах.
Как минимум, все кто пробовал, играл, играет в Minecraft, а таких не мало.
minetest
An open source Infiniminer/Minecraft style game. Runs natively on Windows and Linux (C++ and Irrlicht. No Java.)
Со страху удалил java-1.7.0-openjdk, jline и rhino. :-)
Похвально. Что заблокировали - похвально т.к. используют остатки авторитета на благое дело пинания Oracle к исправлению ды. Что оставили возможность легко включить - похвально т.к. у меня как и у многих банк на Javа (вот был бы номер если раз, фигак, и не можешь зайти в банк...).
> вот был бы номер если раз, фигак, и не можешь зайти в банк...а вот ситуация щаз -- которую создали Firefox -- кстате говоря очень весёлая. :)
типичный пользователь банка пытается открыть банк и БАЦ(!) "осторожно! на этой страницы используются опасные компоненты!" (ну или какая там надпись%))
отличный удар по репутации банка! и кстате очень заслуженный удар!
надеюсь в будущем по-чаще будет происходить блокировка плугинов в Firefox, до тех пока пока все не перейдут на HTML5 [и уж темболее Банки].
# P.S.: если бы мой банк работал бы с использованием Java-Аплетов -- то я даже не постеснялся бы позвонить туда и спросить ответственного сотрудника о том почему меня заставляют устанавливать на компьютер опасные компоненты :-D
Хз, мой банк, видимо, использует тупо яваскрипт с двойной аунтификацией (логин/пароль+код по смс) Нафиг эти явы нужны?
мой вот тоже.
> мой вот тоже.Для физлиц. Для контор обычно какое-то чудище используют, не спрашивай зачем. И даже Джава не самый плохой вариант. Бывает ActiveX со всеми вытекающими.
как вы будете подписывать платёжку ключом без жабы или activex? Для юриков код по sms не катит.
у меня уже год катит
>отличный удар по репутации банка! и кстате очень заслуженный удар!Охренеть.
Мало того что банк и его клиенты тут вообще не причем, так его кидание оказывается еще и априори заслужено.Опенсурс фанатики реально больные.
> Мало того что банк и его клиенты тут вообще не причем, так его кидание оказывается еще и априори заслужено.Во первых, нихера себе банк не причём?! Он заставляет своих клиентов использовать заведомо уязвимое программное обеспечение. Когда у клиента троян деньги со счёта уведёт, банк их вернёт? И сколько времени ему на это понадобится? А может он и расходы по удалению трояна из клиентской сетки на себя возьмёт?
Во вторых, я не понял, кто, кроме банка, кинул и кого именно? Может у мозилы с банками есть какой-то официальный, договор?
>Он заставляет своих клиентов использовать заведомо уязвимое программное обеспечение.Я и говорю - опенсурс фанатики реально больные. "Заставляет"... "заведомо уязвимое" - какая каша твориться у них в головах. Ну давай возьмем либруофис - там тоже для части фич используется java - прямые выводы осмелишься сделать после своего мегазаявления о банках ? Или юлить начнешь.
Любое ПО, особенно подразумевающее работу через сеть, заведомо уязвимое. Учи матчасть.
>> Ну давай возьмем либруофис - там тоже для части фич используется java - прямые выводы осмелишься сделать после своего мегазаявления о банках ? Или юлить начнешь.Разницу между апплетом, который выполняет удалённый код на твоей машине и локальным java-приложением, не взаимодействующим с сетью пояснить?
>> Любое ПО, особенно подразумевающее работу через сеть, заведомо уязвимое. Учи матчасть.
И почему теоретики с википедией наперевес так любят считать себя самыми умными?
Есть разница между потенциальной уязвимостью (и даже выявленной уязвимостью, в большей части случаев для эксплуатации нужно определённое положение лун на небе) и рабочим эксплоитом незакрытой уязвимости, который был на момент публикации уже был в составе минимум 2-х сплоит паков.
Уменьшать риски - характеристика в первую очередь здравомыслящих людей, и "фанатиков опенсорса" тут сложно в чём-то обвинить.
Другое дело, что всем по^W как обычно и никто дёргаться не будет. Выпустит оракел обновку, никуда не денется.
> Любое ПО, особенно подразумевающее работу через сеть, заведомо уязвимое. Учи матчасть.Это в твоей M$-методичке так написано, хомячок?
> Похвально. Что заблокировали - похвально т.к. используют остатки авторитета на благое дело
> пинания Oracle к исправлению ды. Что оставили возможность легко включить -
> похвально т.к. у меня как и у многих банк на Javа
> (вот был бы номер если раз, фигак, и не можешь зайти
> в банк...).Как они заблокировали и у кого? Сегодня все включили компы, а плагин выключен?
> Как они заблокировали и у кого? Сегодня все включили компы, а плагин
> выключен?Ну, если автообновление "Фаерфокса" включено, то примерно так: включили, обновление прилетело, хоп, и заблокированы.
Плагин IcedTea (icedtea-web-1.3.1) работает в Firefox 18 (firefox-18.0,1) и Chromium 24 (chromium-24.0.1312.52) с OpenJDK6 (openjdk6-b27) на FreeBSD 9-STABLE (r245299).
> Плагин IcedTea (icedtea-web-1.3.1) работает в Firefox 18 (firefox-18.0,1) и Chromium 24
> (chromium-24.0.1312.52) с OpenJDK6 (openjdk6-b27) на FreeBSD 9-STABLE (r245299).Ты главного не сказал:
1) Нафига это надо?
2) Затрагивают ли его дыры.
>> Плагин IcedTea (icedtea-web-1.3.1) работает в Firefox 18 (firefox-18.0,1) и Chromium 24
>> (chromium-24.0.1312.52) с OpenJDK6 (openjdk6-b27) на FreeBSD 9-STABLE (r245299).
> Ты главного не сказал:
> 1) Нафига это надо?Для работы апплетов в окне браузера.
> 2) Затрагивают ли его дыры.
При должной настройке безопасности вряд ли — http://www.linux.org.ru/forum/talks/8704423/page2?lastmod=13...
Такие заботливые ... уроды.Нет что бы реализовать зоны безопасности, с разными профилями настроек - нет мля, мозиловцы умнее всех - сами за вас всю решат.
С понедельника опять придется клиентам объяснять что проблема на их стороне, благодаря заботливой моззиле.
> Такие заботливые ... уроды.
> Нет что бы реализовать зоны безопасности, с разными профилями настроек - нет
> мля, мозиловцы умнее всех - сами за вас всю решат.
> С понедельника опять придется клиентам объяснять что проблема на их стороне, благодаря заботливой моззиле.У меня на Windows XP на последних версиях Firefox самоапдейт не работает, х.з. почему, всё по дефолту ставил. Так что вряд ли что придётся объяснять — у них там, наверное, Firefox версии не выше 12'й. :))
У нас автообновление работает, в том числе и на ХР.
Только эти уроды под ХP еще и прокрутку сломали практически полностью. Через какое то время просто перестает работать, что плавная что обычная что ускоренная, хоть запереключайся галочками в настройках. Максимум лечиться до перезагрузки.
Хоть блин Хром начинай клиентам советовать ...>Так что вряд ли что придётся объяснять — у них там, наверное, Firefox версии не выше 12'й. :))
Угу - они отключали джаву уже как миним два раза и уже приходилось объяснять.
Я как бы ситуацию не с потолка беру а из реальной работы с клиентами.
Спалился, вантузятнег!!
Если уж Джава сина нужна, то сразу после установки надо ее сразу во всех браузерах вырубить. Щас это можно одним флажком в настройках сделать
http://java-runtime.ru/kak-otkljuchit-java-v-brauzerah
