اجرای جاوا و کوییک تایم در گوگل کروم نیازمند کسب اجازه است
سال گذشته٬ تیم مرورگر کروم وعده دادند تا امکاناتی اضافه کنند که موجب بهبود امنیت پلاگینها شود. یکی از این امکانات در حال حاضر در آخرین نسخه توسعهدهندگان به کار گرفته شده است: «برخی از پلاگینها به طور گستردهای نصب میشوند اما امروزه در وبگردی کاربرد چندانی ندارند. برای بیشتر کاربران٬ هرگونه تلاشی جهت نصب این پلاگینها مشکوک است و گوگل کروم در چنین شرایطی هشدارهای لازم را صادر میکند».
پلاگین جاوا متعلق به شرکت اوراکل و کوییک تایم متعلق به اپل دو مورد از پلاگینهایی هستند که در هر نوبت بازدید از وبسایتهایی که از آنها استفاده میکنند نیاز به کسب اجازه دارند. این پلاگینها به صورت پیشفرض فعالند اما برای بارگذاری کامل محتوای صفحه باید روی «این بار اجرا کن» (Run this time) یا «همیشه روی این سایت اجرا کن» (Always run on this site) کلیک کنید. میتوانید به صورت دستی دامنههای مورد نظرتان را به لیست سفید اضافه کتید اما هیچ راهی برای غیرفعال کردن این پیغام هشدار وجود ندارد.
اگرچه تعداد اندکی از سایتها از پلاگینها استفاده میکنند٬ اما مشاهده اینکه کروم برای بارگذاری محتوای جاوا یا کوییک تایم نیاز به کسب اجازه دارد٬ حتی اگر از آخرین نسخه این پلاگینها استفاده کنید٬ کمی تعجبآور است. این پیغام هشدار آزاردهنده است. تعدادی از کاربران ممکن است آن را نادیده بگیرند. در حالی که برخی دیگر ممکن است تصور کنند صفحه مورد نظر در حال تلاش برای نصب نرمافزار مخرب است.
یکی از مهندسین کروم در این زمینه توضیح میدهد: «علت این امر محافظت (از حدود ۹۰ تا ۹۵ درصد) کاربران اینترنت است که هیچگاه نیازی به استفاده از پلاگینهای گوناگون کمکاربرد ندارند. به یاد داشته باشید که روی سایتهایی که برای اجرای جاوا به آنها اعتماد دارید تنها لازم است روی یک دکمه کلیک کنید و کار تمام است. در واقع٬ به این ترتیب خود را کمتر در معرض مخاطرات امنیتی جاوا قرار میدهید. از جمله اینکه آگهیهای تبلیغاتی ناخواسته جاوا که آلوده به بدافزار هستند دیگر نمیتوانند به صورت خودکار اجرا شوند. توصیه میکنم درباره روند تکاملی دانلودهای ناخواسته مطالعه کنید و به این نکته توجه داشته باشید که چطور از جاوا برای بسیاری از حملههای متداول استفاده میشود٬ حتی اگر کاملا به روز باشد».
مقالهای مربوط به نوامبر ۲۰۱۰ خبر میدهد که «به گفته مؤسسه امنیتی G Data٬ یکی از حفرههای امنیتی جاوا جای حفرههای فایلهای پی دی اف را بعنوان رایجترین خطر امنیتی اشغال کرده است. پژوهشگران میگویند که آسیبپذیریهای جاوا به خلافکاران سایبر توان بالقوه زیادی از حیث فنی میدهد و باعث میشود توسعه و توزیع کدهای آلوده نسبت به سایر روشهای نفوذ به سیستم آسانتر شود. در صدر این فهرست Java.Trojan.Exploit.Bytverify.N قرار دارد که از یک حفره امنیتی در اعتبار سنج بایت کد جاوا استفاده میکند. چنین اشکالاتی اجرای کدهای آلوده را تسهیل کرده و مهاجم را قادر میسازد تا کنترل سیستم قربانی را در دست بگیرد. به گفته پژوهشگران٬ معمولا این تروجان در سایتهای هکشده وجود دارد و از آنجا سعی میکند با دانلودهای ناخواسته و از طریق برنامههای دستکاریشده جاوا به کامپیوترها نفوذ کند. بازدید از یک وبسایت آلوده با یک کامپیوتر محافظتنشده به تنهایی کافی است تا تروجان به سیستم نفوذ کند. G Data انتظار دارد در چند ماه آینده تعداد بدافزارهای مبتنی بر جاوا به طور قابل توجهی افزایش پیدا کند.
منبع: googlesystem