Mozilla正考虑将Java列入黑名单

     <p> Mozilla 基金会公开宣布正考虑在浏览器环境中屏蔽 Java 代码的执行，最近一项研究表明，Java 已成为危害浏览器安全的三大感染源之首。<a href="/misc/goto?guid=4958192462569633251" target="_blank">该研究</a>调查了安装有 Windows 系统的主机是如何被轻而易举攻破的，此举将 Java 推到了名单之首。在未打补丁的 Java 运行环境上，缺陷占总体漏洞的 37%，紧随其后的分别是 Adobe Reader 的 32% 以及 Adobe Flash 的 16%。</p>    <p> 开发人员有经常将开发工具升级到最新版本的习惯，但浏览器不会时刻进行 Java 运行环境的更新，因为是隐含的组件所以升级工作经常会被用户所忽视。尽管浏览器都可以单独设置对 Java 的禁用，但是一旦系统中发现有 Java 运行环境（JRE，Java Runtime Environment），便会自动将该功能开启。</p>    <p> 自 Java 伴随 Mozilla 浏览器出现的那一刻起，Java 就变得无处不在，就像将 Applets 带给大众一样，那时，Java 还很少被用在客户端。但这并不意味着没有人会用到：非死book 的聊天功能就是基于 Java 运行时进行通讯的，或许，此功能会被即将到来的 WebSockets 协议所替代。</p>    <p> 然而，随着 BEAST（Browser Exploit Against SSL/TLS）破解技术出现，客户端 Java 的存在也被推到了舆论的风口浪尖。由于 Java 插件自身的安全隐患，使得<a href="/misc/goto?guid=4958192463300151672" target="_blank">缺陷清单中的建议</a>都建议将 Java 插件列黑。</p>    <p> 虽然 BEAST 攻击仅限于 TLS 1.0（TLS 1.1 不受该攻击作用，但还未广泛部署），还是可以通过浏览器中被感染的 Java 运行环境来嗅探到原始数据包的。</p>    <p> InfoQ 已向 Oracle 询问关于此事的看法，目前还没有得到回应。同时，关于 Mozilla 将 Java 插件拉入黑名单之事也还未最后决定。</p>    <p> <strong>查看英文原文：</strong><a href="/misc/goto?guid=4958192464035945076" target="_blank">Mozilla Considers Blacklisting Java</a></p>    <p> 作者：Alex Blewitt 译者：贾国清<br />       来自: <a id="link_source2" href="/misc/goto?guid=4958192464772421209" target="_blank">InfoQ</a></p>