W ciągu ostatnich miesięcy wykryto kilka luk w zabezpieczeniach Java. Za każdym razem, gdy Oracle wypuszcza poprawkę, nowe luki były wykrywane w najnowszych wersjach niemal natychmiast, co z kolei powoduje, że każdy system jest swobodnie instalowany na podatnych na ataki.
Firmy takie jak Mozilla zaczęły umieszczać na czarnej liście stare wersje Java, aby chronić użytkowników przed tymi atakami, i chociaż działało to całkiem dobrze, nie można było polegać tylko na tym, aby zachować bezpieczeństwo.
Co możesz zrobić, aby chronić swoje systemy przed atakami opartymi na Javie? Pierwszą odpowiedzią, która przychodzi mi na myśl z oczywistych powodów, jest odinstalowanie Javy. Chociaż może to działać w przypadku niektórych użytkowników, którzy w ogóle nie potrzebują Java, może nie działać w przypadku innych. Jeśli witryna bankowości internetowej wymaga oprogramowania Java, nie można po prostu odinstalować oprogramowania Java, ponieważ nie można już korzystać z serwisu bankowego.
Musi być inne rozwiązanie i jest. W rzeczywistości istnieje więcej niż jedno rozwiązanie i przejrzę je wszystkie w tym przewodniku, aby pomóc Ci ograniczyć Javę do stron internetowych, na których musisz ją uruchomić.
1. Uruchom NoScript
NoScript to mój jedyny niezbędny dodatek do Firefoksa, który uruchamiam cały czas. Domyślnie blokuje uruchamianie wszystkich skryptów na wszystkich stronach internetowych, dzięki czemu zawartość Java, JavaScript lub Flash nie jest uruchamiana automatycznie podczas odwiedzania strony internetowej.
Obsługuje tymczasową i stałą białą listę domen, aby umożliwić uruchamianie skryptów w wybranych domenach. Chodzi o to, aby włączyć skrypty w witrynach, na których należy uruchomić Javę, i zachować domyślną konfigurację dla wszystkich innych witryn, aby nie były uruchamiane w tych witrynach po otwarciu ich w przeglądarce.
Chociaż wymaga to trochę pracy z Twojej strony, aby skonfigurować wszystkie witryny, na których chcesz uruchomić Javę, oraz witryny, na których musisz uruchomić inne wtyczki, jest to w końcu bardzo korzystne, ponieważ chroni przeglądarkę i komputer przed wieloma atakami, które wykonują automatycznie po połączeniu się ze stronami internetowymi i usługami.
Aby włączyć skrypt w witrynie, możesz albo kliknąć go bezpośrednio, co spowoduje tymczasowe włączenie, albo kliknąć ikonę NoScript w interfejsie przeglądarki, aby włączyć go na stałe lub tymczasowo.
2. Kliknij, aby zagrać
Aktualizacja: W najnowszych wersjach Firefoksa nie trzeba już włączać opcji „kliknij, aby grać”, ponieważ jest ona włączana automatycznie dla wszystkich wtyczek oprócz Flasha lub wtyczek, które skonfigurowano do automatycznego uruchamiania. Nadal możesz chcieć sprawdzić menedżera dodatków przeglądarki i wtyczki, aby upewnić się, że wszystko jest ustawione na „poproś o aktywację”.
Jeśli nie uruchomisz NoScript, nadal masz kilka opcji radzenia sobie z Javą i innymi wtyczkami, których potrzebujesz, ale których uruchomienie jest potencjalnie niebezpieczne. Mozilla jakiś czas temu wprowadziła funkcję „kliknij, aby odtworzyć”, która blokuje wykonywanie skryptów, dopóki nie klikniesz elementu w oknie przeglądarki.
Jest domyślnie wyłączony, a jedyną opcją do włączenia jest zaawansowana konfiguracja przeglądarki. Interesujące pod tym względem jest to, że jest on aktywowany automatycznie, jeśli uruchomisz wersję Java, która jest podatna na zagrożenia lub nieaktualna. Mozilla planuje rozwinąć to w najbliższej przyszłości.
Aby aktywować kliknij, aby zagrać, wykonaj następujące czynności:
- Rodzaj about: config w pasku adresu przeglądarki.
- Potwierdź, że będziesz ostrożny, jeśli zrobisz to po raz pierwszy.
- Wpisz plugins.click_to_play do pola wyszukiwania i naciśnij enter.
- Kliknij dwukrotnie parametr, aby go ustawić prawdziwe.
Po zakończeniu zauważysz, że zawartość wtyczki nie jest już ładowana automatycznie. Zamiast tego na stronie pojawi się „aktywuj Javę” lub inną nazwę wtyczki, którą musisz kliknąć, aby aktywować. Podstawowa korzyść tutaj jest taka sama, jak w przypadku rozszerzenia NoScript: żadna wtyczka nie działa w witrynie, chyba że aktywnie na to zezwalasz.
Istnieje kilka rzeczy, które możesz zrobić, aby poprawić swoje wrażenia. W przypadku witryn, którym ufasz, na przykład w witrynie swojego banku, możesz chcieć cały czas włączać wtyczki, abyś nie musiał aktywować ich aktywnie za każdym razem, gdy je odwiedzasz.
Kliknięcie małej ikony obok adresu witryny umożliwia wyświetlenie menu.
Po kliknięciu ikony wyświetlane są opcje aktywacji jednej wtyczki lub wszystkich z nich. Możesz także wybrać opcję zawsze aktywuj wtyczki dla tej witryny, aby umieścić ją na białej liście, aby wtyczki działały na niej automatycznie.
