Mozilla基金会公开宣布正考虑在浏览器环境中屏蔽Java代码的执行,最近一项研究表明,Java已成为危害浏览器安全的三大感染源之首。该研究调查了安装有Windows系统的主机是如何被轻而易举攻破的,此举将Java推到了名单之首。在未打补丁的Java运行环境上,缺陷占总体漏洞的37%,紧随其后的分别是Adobe Reader的32%以及Adobe Flash的16%。
开发人员有经常将开发工具升级到最新版本的习惯,但浏览器不会时刻进行Java运行环境的更新,因为是隐含的组件所以升级工作经常会被用户所忽视。 尽管浏览器都可以单独设置对Java的禁用,但是一旦系统中发现有Java运行环境(JRE,Java Runtime Environment),便会自动将该功能开启。
自Java伴随Mozilla浏览器出现的那一刻起,Java就变得无处不在,就像将Applets带给大众一样,那时,Java还很少被用在客户 端。但这并不意味着没有人会用到:Facebook的聊天功能就是基于Java运行时进行通讯的,或许,此功能会被即将到来的WebSockets协议所 替代。
然而,随着BEAST(Browser Exploit Against SSL/TLS)破解技术出现,客户端Java的存在也被推到了舆论的风口浪尖。由于Java插件自身的安全隐患,使得缺陷清单中的建议都建议将Java插件列黑。
虽然BEAST攻击仅限于TLS 1.0(TLS 1.1不受该攻击作用,但还未广泛部署),还是可以通过浏览器中被感染的Java运行环境来嗅探到原始数据包的。
InfoQ已向Oracle询问关于此事的看法,目前还没有得到回应。同时,关于Mozilla将Java插件拉入黑名单之事也还未最后决定。