URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 88194
[ Назад ]

Исходное сообщение
"В Firefox до устранения уязвимости будут заблокированы все в..."

Отправлено opennews , 11-Янв-13 22:51 
В связи с появлением в сети рабочих экслоитов, поражающих все доступные версии Java, и отсутствие обновлений с устранением уязвимости (http://www.opennet.me/opennews/art.shtml?num=35804), разработчики Mozilla приняли решение (https://blog.mozilla.org/security/2013/01/11/protecting-user.../) внести все версии  Java, вплоть до последних выпусков 7u10 и 6u38, в чёрный список (https://addons.mozilla.org/en-US/firefox/blocked/) дополнений, блокируемых по умолчанию в Firefox. У пользователей по прежнему останется возможность открытия  Java-апплетов, но для этого теперь потребуется вручную согласиться с намерением активировать потенциально опасный контент на странице.

<center><img src="http://www.opennet.me/opennews/pics_base/0_1357929686.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center>

URL: https://blog.mozilla.org/security/2013/01/11/protecting-user.../
Новость: http://www.opennet.me/opennews/art.shtml?num=35814


Содержание

Сообщения в этом обсуждении
"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Аноным , 11-Янв-13 22:51 
Нравится такая забота и включить можно, если что.
Но я так и не смог найти ответа, откуда Жаба берётся на огромной куче хомяковых десктопов.

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Аноним , 11-Янв-13 22:59 
> Но я так и не смог найти ответа, откуда Жаба берётся на огромной куче хомяковых десктопов.

Есть мнение, что из коробки.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Аноным , 11-Янв-13 23:05 
Не встречал такого.

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Аноним , 12-Янв-13 05:29 
Коробки с чем? С жабами? oO

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Аноним , 12-Янв-13 12:52 
>> Но я так и не смог найти ответа, откуда Жаба берётся на огромной куче хомяковых десктопов.
> Есть мнение, что из коробки.

Аналисты с опеннета, как всегда, за пределами своих личных 17 дюймов нихер@ не видят и не знают.

Ты так-то в курсях, что есть ВАЛОМ сайтов, которые ТРЕБУЮТ при входе установить Жабу, проверяя ее наличие, что совсем не трудно? Ибо она им ТРЕБУЕТСЯ.



"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Anonim , 12-Янв-13 13:15 
Речь шла о хомячковых сайтах. Я таких не встречал. Правда, в браузерные игры не играю.

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено fon , 12-Янв-13 13:59 
> Аналисты с опеннета, как всегда, за пределами своих личных 17 дюймов нихер@ не видят и не знают.

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено semyon , 12-Янв-13 17:12 
> Ты так-то в курсях, что есть ВАЛОМ сайтов, которые ТРЕБУЮТ при входе установить Жабу, проверяя ее наличие, что совсем не трудно? Ибо она им ТРЕБУЕТСЯ.

Иксперты с опеннета, как всегда, за пределами своих личных г0вносайтов, которым в 2013 году ТРЕБУЕТСЯ жаба, нихер@ не видят и не знают.

Ты так-то в курсе, что на хомячковые компьютеры жабу предустанавливают вместе с виндой?


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено imprtat , 13-Янв-13 17:24 
> Ты так-то в курсе, что на хомячковые компьютеры жабу предустанавливают вместе с виндой?

Пользовался виндой почти 5 лет, за все время у меня жабы стояли не более нескольких месяцев.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Аноним , 11-Янв-13 23:15 
> Нравится такая забота и включить можно, если что.
> Но я так и не смог найти ответа, откуда Жаба берётся на
> огромной куче хомяковых десктопов.

Когда прочитал вчера новость о дыре в Java полез посмотреть настройки Firefox и с большим удивлением обнаружил, что стоит Java-плагин IcedTea. После установки Ubuntu специльно отключил все плагины и предустановленные дополнения. Но IcedTea каким-то чудом включился без спросу, возможно после какого-то обновления или установки пакета.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Anonplus , 12-Янв-13 00:32 
Пока встречается софт, написанный на жабе, будет стоять и жаба. Но вот браузерный плагин я у себя давно удалил, чего и всем советую. Надобность в нем намного меньшая, чем в десктопной жабе, а большинство дряни пролезает именно через дыры в нем.

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Аноним , 12-Янв-13 01:02 
Я установил ради майнкрафтика и JDownloader.

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено filosofem , 12-Янв-13 14:22 
> Нравится такая забота и включить можно, если что.
> Но я так и не смог найти ответа, откуда Жаба берётся на
> огромной куче хомяковых десктопов.

С каким-нибудь софтом ставится. Не обязательно из браузера, но при установке не забывает плаги(ны) воткнуть. Сейчас это реже происходит, потому что немногие уже верят во 'write once' и пихают подходящую версию jvm в дистрибутив софта.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено iZEN , 12-Янв-13 14:32 
>> Нравится такая забота и включить можно, если что.
>> Но я так и не смог найти ответа, откуда Жаба берётся на
>> огромной куче хомяковых десктопов.
> С каким-нибудь софтом ставится.

JRE нужна для libbluray для воспроизведения блюрей с меню и jakarta-commons-httpclient для OpenOffice.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Аноним , 12-Янв-13 14:43 
Порносайты же.

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено BratSinot , 12-Янв-13 17:23 
> Порносайты же.

На каком таком порносайте вы Java видели? Там Flash, собственно как и на остальных видеохостингах.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено BratSinot , 12-Янв-13 17:22 
Как минимум, все кто пробовал, играл, играет в Minecraft, а таких не мало.

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Сейд , 13-Янв-13 15:06 
minetest
An open source Infiniminer/Minecraft style game. Runs natively on Windows and Linux (C++ and Irrlicht. No Java.)

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Сейд , 12-Янв-13 00:35 
Со страху удалил java-1.7.0-openjdk, jline и rhino. :-)

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Онаним , 12-Янв-13 00:44 
Похвально. Что заблокировали - похвально т.к. используют остатки авторитета на благое дело пинания Oracle к исправлению ды. Что оставили возможность легко включить - похвально т.к. у меня как и у многих банк на Javа (вот был бы номер если раз, фигак, и не можешь зайти в банк...).

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Xasd , 12-Янв-13 06:24 
> вот был бы номер если раз, фигак, и не можешь зайти в банк...

а вот ситуация щаз -- которую создали Firefox -- кстате говоря очень весёлая. :)

типичный пользователь банка пытается открыть банк и БАЦ(!) "осторожно! на этой страницы используются опасные компоненты!" (ну или какая там надпись%))

отличный удар по репутации банка! и кстате очень заслуженный удар!

надеюсь в будущем по-чаще будет происходить блокировка плугинов в Firefox, до тех пока пока все не перейдут на HTML5 [и уж темболее Банки].

# P.S.: если бы мой банк работал бы с использованием Java-Аплетов -- то я даже не постеснялся бы позвонить туда и спросить ответственного сотрудника о том почему меня заставляют устанавливать на компьютер опасные компоненты :-D


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Anonim , 12-Янв-13 13:20 
Хз, мой банк, видимо, использует тупо яваскрипт с двойной аунтификацией (логин/пароль+код по смс) Нафиг эти явы нужны?


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Xasd , 12-Янв-13 13:28 
мой вот тоже.

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено filosofem , 12-Янв-13 14:12 
> мой вот тоже.

Для физлиц. Для контор обычно какое-то чудище используют, не спрашивай зачем. И даже Джава не самый плохой вариант. Бывает ActiveX со всеми вытекающими.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Aleksey Salow , 12-Янв-13 19:40 
как вы будете подписывать платёжку ключом без жабы или activex? Для юриков код по sms не катит.

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Вася , 13-Янв-13 20:09 
у меня уже год катит

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Int , 12-Янв-13 18:05 
>отличный удар по репутации банка! и кстате очень заслуженный удар!

Охренеть.
Мало того что банк и его клиенты тут вообще не причем, так его кидание оказывается еще и априори заслужено.

Опенсурс фанатики реально больные.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено semyon , 12-Янв-13 19:42 
> Мало того что банк и его клиенты тут вообще не причем, так его кидание оказывается еще и априори заслужено.

Во первых, нихера себе банк не причём?! Он заставляет своих клиентов использовать заведомо уязвимое программное обеспечение. Когда у клиента троян деньги со счёта уведёт, банк их вернёт? И сколько времени ему на это понадобится? А может он и расходы по удалению трояна из клиентской сетки на себя возьмёт?

Во вторых, я не понял, кто, кроме банка, кинул и кого именно? Может у мозилы с банками есть какой-то официальный, договор?


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Int , 13-Янв-13 12:51 
>Он заставляет своих клиентов использовать заведомо уязвимое программное обеспечение.

Я и говорю - опенсурс фанатики реально больные. "Заставляет"... "заведомо уязвимое" - какая каша твориться у них в головах. Ну давай возьмем либруофис - там тоже для части фич используется java - прямые выводы осмелишься сделать после своего мегазаявления о банках ? Или юлить начнешь.

Любое ПО, особенно подразумевающее работу через сеть, заведомо уязвимое. Учи матчасть.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Reinar , 13-Янв-13 16:14 
>> Ну давай возьмем либруофис - там тоже для части фич используется java - прямые выводы осмелишься сделать после своего мегазаявления о банках ? Или юлить начнешь.

Разницу между апплетом, который выполняет удалённый код на твоей машине и локальным java-приложением, не взаимодействующим с сетью пояснить?

>> Любое ПО, особенно подразумевающее работу через сеть, заведомо уязвимое. Учи матчасть.

И почему теоретики с википедией наперевес так любят считать себя самыми умными?

Есть разница между потенциальной уязвимостью (и даже выявленной уязвимостью, в большей части случаев для эксплуатации нужно определённое положение лун на небе) и рабочим эксплоитом незакрытой уязвимости, который был на момент публикации уже был в составе минимум 2-х сплоит паков.
Уменьшать риски - характеристика в первую очередь здравомыслящих людей, и "фанатиков опенсорса" тут сложно в чём-то обвинить.
Другое дело, что всем по^W как обычно и никто дёргаться не будет. Выпустит оракел обновку, никуда не денется.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Led , 13-Янв-13 23:26 
> Любое ПО, особенно подразумевающее работу через сеть, заведомо уязвимое. Учи матчасть.

Это в твоей M$-методичке так написано, хомячок?


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Anonim , 12-Янв-13 13:18 
> Похвально. Что заблокировали - похвально т.к. используют остатки авторитета на благое дело
> пинания Oracle к исправлению ды. Что оставили возможность легко включить -
> похвально т.к. у меня как и у многих банк на Javа
> (вот был бы номер если раз, фигак, и не можешь зайти
> в банк...).

Как они заблокировали и у кого? Сегодня все включили компы, а плагин выключен?


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Аноним , 12-Янв-13 14:44 
> Как они заблокировали и у кого? Сегодня все включили компы, а плагин
> выключен?

Ну, если автообновление "Фаерфокса" включено, то примерно так: включили, обновление прилетело, хоп, и заблокированы.



"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено iZEN , 12-Янв-13 00:59 
Плагин IcedTea (icedtea-web-1.3.1) работает в Firefox 18 (firefox-18.0,1) и Chromium 24 (chromium-24.0.1312.52) с OpenJDK6 (openjdk6-b27) на FreeBSD 9-STABLE (r245299).

"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Аноним , 12-Янв-13 05:30 
> Плагин IcedTea (icedtea-web-1.3.1) работает в Firefox 18 (firefox-18.0,1) и Chromium 24
> (chromium-24.0.1312.52) с OpenJDK6 (openjdk6-b27) на FreeBSD 9-STABLE (r245299).

Ты главного не сказал:
1) Нафига это надо?
2) Затрагивают ли его дыры.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено iZEN , 12-Янв-13 14:39 
>> Плагин IcedTea (icedtea-web-1.3.1) работает в Firefox 18 (firefox-18.0,1) и Chromium 24
>> (chromium-24.0.1312.52) с OpenJDK6 (openjdk6-b27) на FreeBSD 9-STABLE (r245299).
> Ты главного не сказал:
> 1) Нафига это надо?

Для работы апплетов в окне браузера.

> 2) Затрагивают ли его дыры.

При должной настройке безопасности вряд ли — http://www.linux.org.ru/forum/talks/8704423/page2?lastmod=13...


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Int , 12-Янв-13 17:58 
Такие заботливые ... уроды.

Нет что бы реализовать зоны безопасности, с разными профилями настроек - нет мля, мозиловцы умнее всех - сами за вас всю решат.
С понедельника опять придется клиентам объяснять что проблема на их стороне, благодаря заботливой моззиле.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено iZEN , 12-Янв-13 18:08 
> Такие заботливые ... уроды.
> Нет что бы реализовать зоны безопасности, с разными профилями настроек - нет
> мля, мозиловцы умнее всех - сами за вас всю решат.
> С понедельника опять придется клиентам объяснять что проблема на их стороне, благодаря заботливой моззиле.

У меня на Windows XP на последних версиях Firefox самоапдейт не работает, х.з. почему, всё по дефолту ставил. Так что вряд ли что придётся объяснять — у них там, наверное, Firefox версии не выше 12'й. :))



"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено Int , 12-Янв-13 19:12 
У нас автообновление работает, в том числе и на ХР.
Только эти уроды под ХP еще и прокрутку сломали практически полностью. Через какое то время просто перестает работать, что плавная что обычная что ускоренная, хоть запереключайся галочками в настройках. Максимум лечиться до перезагрузки.
Хоть блин Хром начинай клиентам советовать ...

>Так что вряд ли что придётся объяснять — у них там, наверное, Firefox версии не выше 12'й. :))

Угу - они отключали джаву уже как миним два раза и уже приходилось объяснять.
Я как бы ситуацию не с потолка беру а из реальной работы с клиентами.


"В Firefox до устранения уязвимости будут заблокированы все в..."
Отправлено sad but true , 15-Янв-13 12:33 
Спалился, вантузятнег!!

"Отключить надо"
Отправлено develko , 30-Апр-15 23:59 
Если уж Джава сина нужна, то сразу после установки надо ее сразу во всех браузерах вырубить. Щас это можно одним флажком в настройках сделать
http://java-runtime.ru/kak-otkljuchit-java-v-brauzerah