lunes, 11 de febrero de 2013

Mejorar y entender la seguridad del plugin de Java (y V)

El plugin de Java se está convirtiendo en un serio problema de seguridad, llevamos meses comprobándolo. Oracle ha añadido seguridad en su configuración por defecto, y ofrecido más granularidad a los usuarios. Pero todavía es mejorable. ¿Para qué sirven las nuevas funcionalidades y qué se puede esperar de ellas?

Otra forma de controlar el plugin de Java es desde el propio navegador. Siempre existe la opción de deshabilitar el plugin o desinstalarlo del navegador, pero quizás el usuario prefiera mantener una lista blanca de páginas en las que debe usarse y paralizar la ejecución en el resto.

Chrome

Por defecto, el que mejor protege contra el plugin. Pregunta por defecto si se desea ejecutar el plugin en el navegador, y permite poner en lista blanca el dominio. En cualquier caso, existen complementos que permiten obtener mayor granularidad incluso con otros plugins. Es el caso de "NotScripts".


Firefox

Firefox tiene la suerte de contar con NoScript, uno de los complementos más veteranos en este aspecto, que permite una gran granularidad para permitir o no la ejecución de Java, JavaScript, etc.


Internet Explorer

Este navegador cuenta con las el uso de zonas, con lo que en teoría ya viene de serie con la posibilidad de bloquear plugins y funcionalidades en páginas según listas blancas y negras. Algo muy útil... si funcionara realmente con los plugins de Java. No funciona "del todo". En teoría bastaría con deshabilitar Java en la zona de "Internet", que es la zona en la que "caen" todas las páginas que no se hayan establecido como "de confianza" explícitamente.


Luego, en las páginas que se quisiera mantener la funcionalidad, se pondría en la lista de la zona de "confianza". Pero realmente no es tan sencillo. Existen muchas formas de llamar a un applet y los atacantes podrían eludir esta restricción, con ciertos "trucos". Para mitigar el problema, el CERT de Estados Unidos ha publicado un fichero .reg que, importado en el sistema, permite realmente deshabilitar (activando el kill bit) la mayoría de los CLSIDs conocidos para Java. Pero solo lo hará para la zona de Internet del navegador. Así se podrá seguir usando la zona de "confianza" como lista blanca. La información está aquí: http://www.kb.cert.org/vuls/id/636312. Puede que incluso este .reg no esté completo, con lo que, si realmente se quiere estar seguro, lo mejor sería quizás desinstalar el plugin para el navegador Internet Explorer, y utilizar otro navegador para las páginas que necesariamente necesiten Java.

Más información:

una-al-dia (28/01/2013) Mejorar y entender la seguridad del plugin de Java (I)

una-al-dia (29/01/2013) Mejorar y entender la seguridad del plugin de Java (II)

una-al-dia (30/01/2013) Mejorar y entender la seguridad del plugin de Java (III)

una-al-dia (03/02/2013) Mejorar y entender la seguridad del plugin de Java (IV)


Sergio de los Santos
Twitter: @ssantosv

1 comentario:

  1. Hola, muy buenas las notas, un pequeño detalle, cuando decís "por defecto" en realidad es "en forma predeterminada", "por defecto" es una mala traducción del termino default.

    ResponderEliminar