Firefox 26默认屏蔽Java
由于安全性问题,Mozilla Firefox 26 现在默认屏蔽了所有 Java 插件,但如果用户想运行这些插件,它也允许他们那么做。
早在 2011 年,Mozilla 就曾因为安全性问题考虑将 Java 加入其浏览器的黑名单中,但那时并未做出决定。今年一整年,Mozilla 一直在开发和测试“点击运行(Click-to-Play)”功能,该功能允许用户选择他们想要启用的插件。但是,这一过程并不顺畅,而且已经影响了基于 Java 的网站和用户。
在九月份,Mozilla 决定将 Java 的所有版本都标记为不安全,并在 Firefox 24 中实现了这一功能。但是,许多用户都不清楚,他们那些不能正常运行的应用程序和网站发生了什么,他们并不知道有个允许他们启用 Java 的 CtP 功能。当时,一部分插件不见了,而 CtP 又没有处理它们,在有些情况下,CtP 用户界面甚至都不见了。许多银行用户似乎都受到了影响,至少在有些国家是这样:
Knud Berggreen:Java Plugin 7 update 45 不应该被屏蔽!它影响了所有丹麦人,因为全国的登录都受阻了。
etoxsg: 在挪威,只有几个在线银行允许用户在没有安装 Java 插件的情况下使用他们的服务。我认为,在挪威、瑞典和丹麦,所有家庭的 90% 仅仅因为银行业务就需要 Java 插件。因此,当你们突然决定屏蔽所有的 Java 插件而又没有事先通知的时候,我不得不做 8 次上门服务,并在外面接听了来自朋友、邻居和家庭的 15 个电话。
下面是来自社区的另外两个反应:
Tomasz:很遗憾听到了明确的消息,但是,作为用户,我想问:在 FF 上屏蔽 Java 这样一个极端不负责任的决定是谁做出的?!
因为这个决定,我无法登录在线交易账户。我的银行所使用的应用程序只是在一个消息框中显示‘需要 Java 版本>1.5’,而没有任何安全问题的蛛丝马迹。它只是不能正常运行。
ipatrol:你们所有人都突然疯了吗?Java 是支撑动态内容的三大核心技术之一!你们开始抡起大锤去砸碎几个 Bug,而你们所有人谈到这件事时都心平气和,难道这是一些小的用户界面调整?
Java SE 工程部经理 Roger 发表了对这一个问题的看法:
在 java.com 上,我们看到有相当数量的人报告了 FF 指出 Java7u45 易受攻击这件事。许多人都说,他们的解决方案是使用 IE。针对相关术语的搜索量暴涨。不知道这是不是 FF 团队当初这样做时所预期的终端用户解决方案。有关该消息以及如何允许 Java 运行的困扰似乎是个易用性问题。关于这项新的屏蔽设置如何影响 FF 用户的行为,有任何统计信息吗?
那时,Mozilla 决定将屏蔽设置恢复原状,但那只是 CtP 功能修复之前的临时措施。在十月底,Mozilla 发布了 Firefox 的一个测试版本,该版本再次以安全性问题为由屏蔽了除 Flash 之外的所有插件。
最终,在今年年底,Firefox 26 现在默认屏蔽了所有网站上的所有 Java 插件。当人们需要的时候,CtP 用户界面是否足以让人们知道如何启用 Java 还有待观察。
在 Windows 和 Flash 承担用户计算机上安全漏洞的责任多年以后,现在轮到 Java 来感受一些压力了。过去,Oracle 似乎没有很关注这个问题,但考虑到它在十月份的重要补丁更新程序下发布的 127 项安全修复更新,其态度已经发生了变化。重要补丁更新程序至少每个季度都应该提供安全更新。