Mozilla ha rilasciato ieri Firefox 26 nelle versioni per Windows, Mac, Linux nonché per i dispositivi mobili a cuore Android. La novità principale, per la versione desktop del browser, consiste nell’attivazione del click-to-play per tutte le versioni del plugin Java e per tutte le release del plugin Flash, eccezion fatta per l’ultima.
Fino a qualche tempo fa tutti i plugin installati nel browser di Mozilla venivano automaticamente caricati, fatta eccezione per quelli presenti nella “lista nera” mantenuta e continuamente aggiornata dalla fondazione. Il problema di fondo, però, come si è spesso ricordato da Mozilla, è che la maggior parte delle minacce per la sicurezza non arrivano tanto dal browser (che da tempo, tra l’altro, include una routine per l’aggiornamento automatico) quanto proprio dai plugin che talvolta rallentano pesantemente la navigazione oppure, specie se utilizzati nelle versioni non aggiornate, rappresentano un grave rischio.
I criminali informatici sono infatti sempre più soliti sfruttare le vulnerabilità insite nelle vecchie versioni dei plugin più popolari (Java, Flash, QuickTime,…) per sferrare attacchi e sottrarre dati sensibili od informazioni personali.
Questo tipo di minacce interessano sia gli utenti finali che le imprese. Secondo Websense Java sta causando molte preoccupazioni tra CTO, CIO e CSO. Non è infatti semplice, nell’attuale mondo business, ridurre il pericolo a cui sono esposte le macchine aziendali.
Sempre più spesso accade che una specifica versione di Java sia necessaria per far correttamente funzionare un software verticale od un applicativo gestionale. Nel nostro articolo Java è sicuro? Come difendersi dalle minacce più recenti abbiamo provato a far luce sul problema offrendo anche una serie di strategie per tutelarsi.
D’ora in avanti, a partire da Firefox 26, il browser di Mozilla bloccherà automaticamente l’esecuzione di qualunque applet Java inserita nelle pagine web, indipendentemente dalla versione installata sul sistema.
Nel momento in cui vi siano degli elementi Java nell’area visibile della pagina, viene visualizzato un messaggio che invita ad effettuare il cosiddetto “click to play” ossia a fare clic su di un apposito riquadro per richiedere l’attivazione dell’applet (ovviamente, a proprio rischio e pericolo).
Secondo Websense, il 93% delle aziende sarebbe oggi vulnerabile ad exploit Java già conosciuti (ciò significa che gli aggiornamenti di sicurezza non vengono installati o si preferisce non usarli per non incidere negativamente sul funzionamento di alcuni software verticali); quasi il 50% del traffico aziendale starebbe usando una versione di Java risalente ad addirittura due anni fa; durante i mesi in cui è stata rilasciata una release critica di Java, solo il 7% delle aziende avrebbe adottato la nuova versione esente da tutte le problematiche già note. Infine, su quasi l’84% dei browser aziendali sarebbe consentito l’utilizzo del plugin Java.
La decisione di Mozilla di introdurre il meccanismo “click to play” mira evidentemente a ridurre tale percentuale rendendo più consapevoli gli utenti su quali applet Java sono in procinto di essere eseguite. Secondo NetApplications, il 58% degli utenti utilizzerebbe Internet Explorer, il 18,6% Firefox ed il 15,4% Chrome: bisognerà verificare quanto l’iniziativa di Mozilla andrà ad incidere sul dato globale.
Oltre al “click to play“, Firefox 26 introduce un sistema di aggiornamento automatico del browser ottimizzato rispetto al passato mentre, sul versante Android, viene portata al debutto una nuova schermata “Home”.
La nuova pagina “Home” di Firefox 26 per Android dà modo agli utenti di accedere rapidamente ai dati relativi alla navigazione, ai siti più visitati, alla cronologia, ai segnalibri, agli elenchi che riassumo i contenuti che si sono salvati in modo da leggerli in un secondo tempo ed alla ricerca. La schermata “Home” è la prima ad essere visualizzata quando l’utente avvia una sessione di navigazione, quando apre una scheda o quando seleziona la barra degli indirizzi.