سال گذشته٬ تیم مرورگر کروم وعده دادند تا امکاناتی اضافه کنند که موجب بهبود امنیت پلاگین‌ها شود. یکی از این امکانات در حال حاضر در آخرین نسخه توسعه‌دهندگان به کار گرفته شده است: «برخی از پلاگین‌ها به طور گسترده‌ای نصب می‌شوند اما امروزه در وبگردی کاربرد چندانی ندارند. برای بیشتر کاربران٬ هرگونه تلاشی جهت نصب این پلاگین‌ها مشکوک است و گوگل کروم در چنین شرایطی هشدارهای لازم را صادر می‌کند».

پلاگین جاوا متعلق به شرکت اوراکل و کوییک تایم متعلق به اپل دو مورد از پلاگین‌هایی هستند که در هر نوبت بازدید از وبسایت‌هایی که از آن‌ها استفاده می‌کنند نیاز به کسب اجازه دارند. این پلاگین‌ها به صورت پیش‌فرض فعالند اما برای بارگذاری کامل محتوای صفحه باید روی «این بار اجرا کن» (Run this time) یا «همیشه روی این سایت اجرا کن» (Always run on this site) کلیک کنید. می‌توانید به صورت دستی دامنه‌های مورد نظرتان را به لیست سفید اضافه کتید اما هیچ راهی برای غیرفعال کردن این پیغام هشدار وجود ندارد.


 

اگرچه تعداد اندکی از سایت‌ها از پلاگین‌ها استفاده می‌کنند٬ اما مشاهده اینکه کروم برای بارگذاری محتوای جاوا یا کوییک تایم نیاز به کسب اجازه دارد٬ حتی اگر از آخرین نسخه این پلاگین‌ها استفاده کنید٬ کمی تعجب‌آور است. این پیغام هشدار آزاردهنده است. تعدادی از کاربران ممکن است آن را نادیده بگیرند. در حالی که برخی دیگر ممکن است تصور کنند صفحه‌ مورد نظر در حال تلاش برای نصب نرم‌افزار مخرب است.

یکی از مهندسین کروم در این زمینه توضیح می‌دهد: «علت این امر محافظت (از حدود ۹۰ تا ۹۵ درصد) کاربران اینترنت است که هیچ‌گاه نیازی به استفاده از پلاگین‌های گوناگون کم‌کاربرد ندارند. به یاد داشته باشید که روی سایت‌هایی که برای اجرای جاوا به آن‌ها اعتماد دارید تنها لازم است روی یک دکمه کلیک کنید و کار تمام است. در واقع٬ به این ترتیب خود را کمتر در معرض مخاطرات امنیتی جاوا قرار می‌دهید. از جمله اینکه آگهی‌های تبلیغاتی ناخواسته جاوا که آلوده به بدافزار هستند دیگر نمی‌توانند به صورت خودکار اجرا شوند. توصیه می‌کنم درباره روند تکاملی دانلودهای ناخواسته مطالعه کنید و به این نکته توجه داشته باشید که چطور از جاوا برای بسیاری از حمله‌های متداول استفاده می‌شود٬ حتی اگر کاملا به روز باشد».

مقاله‌ای مربوط به نوامبر ۲۰۱۰ خبر می‌دهد که «به گفته مؤسسه امنیتی G Data٬ یکی از حفره‌های امنیتی جاوا جای حفره‌های فایل‌های پی دی اف را بعنوان رایج‌ترین خطر امنیتی اشغال کرده است. پژوهشگران می‌گویند که آسیب‌پذیری‌های جاوا به خلافکاران سایبر توان بالقوه زیادی از حیث فنی می‌دهد و باعث می‌شود توسعه و توزیع کدهای آلوده نسبت به سایر روش‌های نفوذ به سیستم آسان‌تر شود. در صدر این فهرست Java.Trojan.Exploit.Bytverify.N قرار دارد که از یک حفره امنیتی در اعتبار سنج بایت کد جاوا استفاده می‌کند. چنین اشکالاتی اجرای کدهای آلوده را تسهیل کرده و مهاجم را قادر می‌سازد تا کنترل سیستم قربانی را در دست بگیرد. به گفته پژوهشگران٬ معمولا این تروجان در سایت‌های هک‌شده وجود دارد و از آنجا سعی می‌کند با دانلودهای ناخواسته و از طریق برنامه‌های دستکاری‌شده جاوا به کامپیوترها نفوذ کند. بازدید از یک وبسایت آلوده با یک کامپیوتر محافظت‌نشده به تنهایی کافی است تا تروجان به سیستم نفوذ کند. G Data انتظار دارد در چند ماه آینده تعداد بدافزارهای مبتنی بر جاوا به طور قابل توجهی افزایش پیدا کند.

منبع: googlesystem