Mozilla正考慮將Java列入黑名單

Mozilla 基金會公開宣布正考慮在瀏覽器環境中屏蔽 Java 代碼的執行，最近一項研究表明，Java 已成為危害瀏覽器安全的三大感染源之首。該研究調查了安裝有 Windows 系統的主機是如何被輕而易舉攻破的，此舉將 Java 推到了名單之首。在未打補丁的 Java 運行環境上，缺陷占總體漏洞的 37%，緊隨其后的分別是 Adobe Reader 的 32% 以及 Adobe Flash 的 16%。

開發人員有經常將開發工具升級到最新版本的習慣，但瀏覽器不會時刻進行 Java 運行環境的更新，因為是隱含的組件所以升級工作經常會被用戶所忽視。盡管瀏覽器都可以單獨設置對 Java 的禁用，但是一旦系統中發現有 Java 運行環境（JRE，Java Runtime Environment），便會自動將該功能開啟。

自 Java 伴隨 Mozilla 瀏覽器出現的那一刻起，Java 就變得無處不在，就像將 Applets 帶給大眾一樣，那時，Java 還很少被用在客戶端。但這并不意味著沒有人會用到：非死book 的聊天功能就是基于 Java 運行時進行通訊的，或許，此功能會被即將到來的 WebSockets 協議所替代。

然而，隨著 BEAST（Browser Exploit Against SSL/TLS）破解技術出現，客戶端 Java 的存在也被推到了輿論的風口浪尖。由于 Java 插件自身的安全隱患，使得缺陷清單中的建議都建議將 Java 插件列黑。

雖然 BEAST 攻擊僅限于 TLS 1.0（TLS 1.1 不受該攻擊作用，但還未廣泛部署），還是可以通過瀏覽器中被感染的 Java 運行環境來嗅探到原始數據包的。

InfoQ 已向 Oracle 詢問關于此事的看法，目前還沒有得到回應。同時，關于 Mozilla 將 Java 插件拉入黑名單之事也還未最后決定。

查看英文原文：Mozilla Considers Blacklisting Java

作者：Alex Blewitt 譯者：賈國清
      來自: InfoQ