Google Chrome'da Java Eklentisi devre dışı bırakılsın mı?


157

Bu, aşağıdakileri kullanarak makinemde bir arabayla çalıştırılabilir dosya çalıştırmamın ikinci zamanıdır:

  • Google Chrome 6 (en son)
  • Windows 7, UAC’de

Bu, gaming.se yayınına eklenecek resimlere göz atarken oldu; Ziyaret ettiğim sitelerden birinde (bir aktarma kablosunun bir görüntüsünü almak için), tarayıcıya göre yararlanma kodunu çalıştırıyor olmanız gerekir.

UAC, garip bir geçici çalıştırılabilir dosyanın çalıştırmak istediğini söyledi ve reddettim, ancak yine de makinemde çalışan sahte bir virüsten koruma yazılımı çalıştırılıyor. İç çekmek..

Java'yı yüklüyorum çünkü clearbits.net'e aylık olarak dosya yüklüyorum ve yükleyicileri bir Java eklentisi. Bu yüzden en iyi tahminim, web sitelerinin Java tarayıcısı eklentilerindeki çok sayıda sıfır günlük güvenlik açığı kullanarak araç üstü yüklemeleri yapmasıdır .

Şimdilik çalışan Java'yı kaldırdım. Ancak bunun yerine Google Chrome'daki Java eklentisini devre dışı bırakıp bırakamayacağımı merak ettim .

Peki bu güvenlik açığı bulunan eklentileri Google Chrome'da nasıl devre dışı bırakıyorsunuz? Arayüzü bulamıyorum.


8
Bu arabayla çalıştırılabilir dosyayı nasıl tespit ettiniz?
Leonel

5
Eklentilerinizin burada güncellenmesi gerekip gerekmediğini her zaman görebilirsiniz: mozilla.com/en-US/plugincheck
travis


1
Geçen gün bir PDF'den benzer bir şey aldım ... ve üstesinden gelmek için, bir tane açmak istemediğimi hatırlamış olsaydım, bundan kaçınabilirdim!
SamB

1
Java’da bir güvenlik açığı olduğunu ve web setinde bir güvenlik açığı olmadığını nasıl biliyorsunuz?
BlueRaja - Danny Pflughoeft 28:11

Yanıtlar:


137

Özellikle Java için Chrome, artık tüm sayfalarda varsayılan olarak Java'yı devre dışı bırakır ve bir siteye her ihtiyacı olduğunda çalışmasına izin vermenizi ister.

Daha genel eklenti endişeleri için Chrome, tüm sitelerde bulunan tüm eklentileri tamamen engellemenize izin verir ve daha sonra onları yeniden yüklemeden bir sayfada seçmeli olarak etkinleştirmenize olanak sağlar. Belirli URL'ler için istisnaları da yapılandırabilirsiniz.

Bunu etkinleştirmek için, url ayarlarının Eklentiler bölümünde: chrome://settings/content"Tümünü Engelle" yi seçin.

Bu seçenek etkinken, bir sayfada eklentileri çalıştırmak istediğinizde 3 seçeneğiniz vardır:

  • Eklentiyi sağ tıklayın ve içerik menüsünden "Bu eklentiyi çalıştır" ı seçin
  • URL çubuğunda eklenti simgesini tıklayın ve "Bu sefer tüm eklentileri çalıştır" ı seçin
  • Güvendiğiniz siteler için, her seferinde açık izniniz olmadan eklentileri çalıştırabilmeleri için bir istisna ekleyin

Chrome'un ayrıca, bazı Chrome sürümlerinde bir bayrağın arkasına gizlenmiş bir "Oynatmak için tıklayın" ayarı da vardır. Bahsedilen bir yorumcu olarak, bu seçenek clickjacking saldırılarına karşı savunmasızdır, bu yüzden bunu kullanmama karşı tavsiyede bulunabilirim. "Tümünü engelle" özelliği ile daha iyisin.


74

Burada Google Chrome'da gerçekten eski bir hata / özellik isteği buldum .
Chrome 6.0 veya sonraki sürümlerinde görünür. Java'yı ziyaret edin chrome://plugins/veya about:pluginsorada devre dışı bırakın.

alt metin

Bunu yaptıktan sonra, Java'nın devre dışı bırakıldığından emin olmak için bir Java eklenti demo sayfasını ziyaret ettim . Ve gerçekten de devre dışı bırakıldı:

alt metin

Eğer - Ama genel öneri Java kaldırmak için gerçekten kesinlikle bu duruma olumlu olmak zorunda olmadıkça bunun için pek çok yeni patlatır çünkü .. sisteminizde Java istemiyoruz.

Kesinlikle ihtiyacınız olmayan herhangi bir eklentiyi devre dışı bırakmanızı da tavsiye ederim. Her etkin eklenti bir saldırı yüzeyidir ve güncel tutulması gereken bir başka şeydir.


17
Sonunda 15 tane eklentiyi devre dışı bıraktım, bilmiyordum ...
juan

Her şeyi kaldırmak yerine, sadece "netscape" (ve IE, sanırım) eklenti DLL'lerini silemez miydiniz?
SamB,

1
Oracle, onların bilgeliği ile, bu sun.com bağlantılarını kopardı. "Java applet demosunu" googledim ve ilk güneş olmayan bağlantıyı denedim. Evet, modern Chrome varsayılan olarak Java'yı devre dışı bırakıyor gibi görünüyor.
Jason,

Chrome 57 eklentileri sayfasından başlayarak artık erişilebilir değil.
anton_rh

32

Java ile kullandığım küçük bir püf noktası, yalnızca x64 sürümünü araştırmak ve yüklemek.


7
oh adam harika bir ipucu; "64 Asla kullanmıyorum ama hala çalışıyor" tarayıcısında test etmek istediğimde IE 64 bit'i benzer şekilde kullanıyorum
Jeff Atwood

11

Sadece Java eklentilerini devre dışı bırakmak için bir -disable-javabaşlatma anahtarını kullanabilirsiniz . Örnek:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Tarayıcıyı yeniden başlattıktan sonra http://java.com/tr/download/help/testvm.xml adresine gitmek , hoş bir mesaj verir.

Sisteminizde çalışan bir Java algılanmadı. Aşağıdaki butona tıklayarak Java'yı yükleyin.

Bir Kullanıcı, Güç Kullanım Kılavuzu’ndaki Google Chrome’daki diğer anahtarlar hakkında bilgi alabilir . Başka faydalı bilgiler de var.


10

Kolay bir düzeltme olsa da, Java'yı yeterince engellemekle birlikte, daha bütünsel bir yaklaşımın lehine iseniz, aşağıdakilerin bir kombinasyonunu kullanmayı tercih edebilirsiniz:

  • Güncellemeler, güvenlik açıkları ve otomatik güncellemeler için Secunia PSI / VIM
  • Yığın taşmasını ve benzerlerini önlemek için Microsoft EMET
  • Montajcılar tarafından sürücüden korunmak için BufferZone
  • Bir üretim makinesinde ağın karanlık tarafını geçmeniz gerektiğinde iCore Sanal Hesapları (giriş / çıkış yapmak biraz zor olabilir ve yarı sanallaştırma kullanır, bu nedenle bazı ek yükler vardır - ancak emrinizde sadece bir makineniz olduğunda) ...)

Bu sizi yalnızca Java güvenlik açıklarından daha fazla korumalıdır.

Bu yaklaşımların etkinliğini ölçmek için (yalnızca EMET bunların% 90'ını durduruyor gibi görünmektedir) Sosyal Mühendislik Araç Takımı'nı kullanmak isteyebilirsiniz .


0

Eklentiyi Chrome'da devre dışı bırakmak yerine, başka bir olasılık da Java'yı tüm tarayıcılar için devre dışı bırakmak üzere yapılandırmaktır.

Bunu yapmak için:

  1. Java Denetim Masası'nı açın ( C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Güvenlik sekmesine git
  3. "Tarayıcıdaki Java içeriğini etkinleştir" seçeneğinin işaretini kaldırın.
  4. Java, tarayıcıları yeniden başlattıktan sonra yürürlüğe gireceğini söylüyor
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.