去年6月份 Google Chrome 团队披露了将会采用多种方法提高 Chrome 插件的安全性,包括在沙箱中运行内置的 Flash 和 PDF 阅读器、自动禁用掉一些常年不更新的插件、在运行不常用的插件时给出警报以及采用下一代插件API等等。其中大部分都已经在当今的 Chrome 中实现,而在最近的 Dev 分支中,“运行不常用的插件时给出警报”的功能也实现了。
目前已知的有两个插件在每个需要此插件运行的网站上运行都需要用户手动确认,分别是甲骨文公司的 Java 插件和苹果公司的 QuickTime 插件,这两个插件的状态虽然是默认开启,但当你打开需要这两个插件(之一)运行的网站时,必须要手动点击“运行一次”或者“在该网站上始终运行” 才能够加载页面上的完整内容,你可以手动将域名加入白名单,但没有办法让这个提示栏不显示。
之所以这样做主要就是因为绝大部分网站都没有使用这两个插件,绝大部分互联网用户平时也压根不需要这两个插件,即使真正需要的时候,也仅仅时点击一下鼠标就可以使用,没什么麻烦的。而且要知道实际上采取了这样的机制之后,浏览器的安全系数会高很多,因为它可以有效的防止采用 Java 插件的木马程序在网站上自动运行。
去年11月份发表在 Computerweekly 上的一篇文章中提到:根据 G Data SecurityLabs 的研究调查,Java已经替代了PDF成为了最常见的安全威胁。研究人员表示 Java 从技术端来说给网络罪犯提供了很多的便利条件,开发以及分发恶意代码也非常简单。研究人员还说道:
最常见的一种就是 Java.Trojan.Exploit.Bytverify.N 木马攻击,其就是利用了一个Java的字节码验证机安全漏洞,利用此漏洞运行的恶意代码可以让攻击者轻松控制被攻击的电脑。这种木马经常会在一些黑客网站上出现,如果使用没有这方面安全防护的电脑访问一个有这种木马的网站,足以挂掉你整个系统。
G Data SecurityLabs 还预计在未来的几个月中基于Java的恶意攻击数量可能会明显上升,所有的一切都显示出了 Java 的不安全。所以 Google Chrome 团队在最新版的 Chrome Dev 中默认阻止 Java 的运行,应该能够帮助很大一部分用户遭受受到这方面的木马。
via GOS
