Gli sviluppatori di Mozilla Firefox stanno confrontandosi sull’opportunità di disabilitare il plugin che permette il supporto della tecnologia Java ed il corretto caricamento delle applet utilizzate in alcuni siti web dalle prossime release del browser opensource. Il plugin Java è infatti il componente che permette agli aggressori di sfruttare le vulnerabilità del protocollo SSL/TLS messe a nudo, la scorsa settimana, dai ricercatori Juliano Rizzo e Thai Duong.
I due esperti avevano mostrato come sia possibile risalire al contenuto in chiaro di qualunque cookie trasmesso attraverso una connessione cifrata (HTTPS) attaccando la modalità “Cipher-Block Chaining” (CBC) usata nel protocollo SSL/TLS (ved. questi articoli).
Uno degli ostacoli da superare, tuttavia, consisteva nel “dribblare” la cosiddetta “Same Origin Policy” (SOP) utilizzata dai browser web: ogni elemento presente in una certa pagina HTML non può “comunicare” con metodi e proprietà impiegati nelle pagine “appartenenti” ad altri siti. E’ infatti importantissimo, soprattutto al giorno d’oggi, conservare una stretta separazione tra i contenuti ospitati su siti web differenti: solo in questo modo è possibile evitare la sottrazione di dati personali o la distruzione degli stessi.
Nonostante la politica SOP del browser, un bug presente in Java sul quale non sono stati precedentemente rilasciati dettagli, sembra permettere ai malintenzionati di aggirare la limitazione. Secondo l’opinione prevalente tra gli sviluppatori di Firefox, dovrebbe essere – a questo punto – Oracle a risolvere tempestivamente la falla individuata in Java.
Dal momento che Oracle sembra non aver ancora chiarito la sua posizione, in Mozilla si sta decidendo (ved. questa pagina) per uno stralcio completo, seppur a carattere evidentemente temporaneo, dei plugin Java.
Firefox: Mozilla pensa alla disabilitazione di Java
Gli sviluppatori di Mozilla Firefox stanno confrontandosi sull'opportunità di disabilitare il plugin che permette il supporto della tecnologia Java ed il corretto caricamento delle applet utilizzate in alcuni siti web dalle prossime release de...