Разработчики Firefox рассматривают вопрос о полной блокировке Java-функционала

Николай Головко 29 Сентября 2011 - 18:32

...

Некоторое время назад независимые исследователи продемонстрировали, как эксплойт-код BEAST может без особенного труда расшифровать данные, передаваемые по защищенному Интернет-соединению. Теперь производители браузеров размышляют над тем, как побороть реализованный в BEAST метод компрометации данных; специалисты Mozilla, похоже, готовы пойти даже на весьма радикальные шаги.

Атакующий код Browser Exploit Against SSL/TLS внедряет в SSL-сеанс особый сценарий на JavaScript; с высокой степенью вероятности предсказывая возможное расположение защищаемой информации в потоке данных, его создатели смогли в конечном счете добиться извлечения и восстановления конфиденциальных сведений. Разработчики популярного обозревателя Firefox, пытаясь найти "вакцину", похоже, всерьез задумались о глобальных хирургических мерах: по имеющейся информации, в числе возможных решений они рассматривают полный отказ от обработки Java в обозревателе.

По словам специалистов, они понимают, что подобный шаг весьма негативно повлияет на удобство работы пользователей в Интернете, однако в силу того, что на данный момент нет никакой информации о возможных контрмерах со стороны Oracle (которая ответственна за Java), а также по причине серьезности угрозы, представляемой BEAST-подобными атаками, возможно внесение всех версий Java-плагина Firefox в стоп-список. Пока что разработчиков все еще одолевают сомнения, и они взвешивают положительные и отрицательные стороны обсуждаемого решения.

Заметим, что создатели Google Chrome, например, столь резких мер принимать не стали. Они придумали другой вариант, который уже реализовали в тестовой версии своего браузера: сообщения разбиваются на случайно перемешиваемые фрагменты, так что в случае перехвата и исследования данных эксплойт-коду и криптоаналитику придется иметь дело уже не со связным текстом, а с беспорядочным набором данных. Такой подход, впрочем, вызвал проблемы совместимости с некоторыми веб-сайтами, и пока не известно, сумеют ли разработчики Google их разрешить. Занимается этой проблемой и Microsoft, но до сего момента никаких конкретных вариантов корпорация не предложила; в каком направлении работают ее специалисты, соответственно, тоже еще не ясно.

The Register

Письмо автору

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

В рунете произошел масштабный сбой

Яков Шпунт 14 Января 2025 - 18:11

Сбои программ Сбои оборудования Общее

14 января, в 17:10 по московскому времени, у российских пользователей массово перестали открываться сайты, как отечественные, так и зарубежные. Роскомнадзор объяснил произошедшее проблемами у операторов связи.

Первым о сбое сообщил телеграм-канал Baza. Из эфира пропали сайты сервисов, предназначенных для мониторинга сбоев, включая «Сбой.рф».

Сервис Downdetector, по информации издания 3D News, работал, но также периодически становился недоступен.

Сбой парализовал работу множества онлайн-сервисов: не открывались поисковые системы, информационные ресурсы, онлайн-банкинг, службы доставки, интернет-магазины, такси и каршеринговые платформы.

Проблемы наблюдались даже с доступом к российским сайтам из-за рубежа. По данным 3D News, стабильную работу сохраняли только Telegram и платформы группы VK.

Роскомнадзор связал инцидент с техническими проблемами у операторов связи.

«Фиксируются сбои у всех операторов, причина устанавливается», — сообщила пресс-служба ведомства в телеграм-канале Mash.

Сбой затронул практически всех ключевых операторов и провайдеров, включая «Ростелеком», «Дом.ру», МТС, «МегаФон», «Билайн» и других. У некоторых пользователей также наблюдались перебои с мобильной связью.

При этом в «Ростелекоме» заявили, что проблемы с доступом в интернет не связаны с неполадками в их инфраструктуре.

По информации «КоммерсантЪ», работа рунета начала восстанавливаться уже в 17:25 по московскому времени.