Firefox plantea eliminar Java para proteger a los usuarios del exploit Beast

Iniciado por [u]nsigned, 29 Septiembre 2011, 13:33 PM

0 Miembros y 1 Visitante están viendo este tema.

[u]nsigned



Con el fin de proteger a todos los usuarios de Beast, el exploit descubierto por dos investigadores capaz de romper el cifrado de SSL/TLS que garantiza la fiabilidad y privacidad de los datos en los navegadores, Firefox estaría a punto de tomar una medida trágica que afectaría a la web. Los desarrolladores plantean una actualización que elimine el trabajo del navegador con Java de Oracle. La medida significaría que Firefox no podría trabajar en cientos de webs y herramientas fundamentales para otras tantas empresas que trabajan a diario.

Así de mal deben estar viendo la situación en Mozilla para llegar a plantearse tal situación y es que desde la compañía ven en estos momentos que el bloqueo y eliminación sería la única forma de frustrar un posible ataque que descifre el tráfico protegido por SSL.

Para aquellos que aún no hayan oído hablar de Beast les explico. La historia comenzó el pasado fin de semana en la conferencia de seguridad Ekoparty, momento en el que dos investigadores, Thai Duong y Julian Rizzo, aseguraron haber conseguido romper el cifrado SSL/TLS que se utiliza para garantizar la seguridad de los datos que se intercambian entre el servidor y el navegador, es decir, los que garantizan la privacidad.

Bajo el nombre de Beast (Browser Exploit Against SSL/TLS) se escondía un código javascript que funcionaba como sniffer y descifraba las cookies con credenciales de los usuarios para acceder a las cuentas y por lo tanto atacaba a la confidencialidad del protocolo. La demostración en la conferencia, consiguiendo recuperar una cookie de autenticación utilizada para acceder a una cuenta cifrada de un usuario en PayPal, alertó a todos los proveedores de navegadores, quienes desde entonces trabajan a contrarreloj para añadir parches.

El principal problema que se están encontrando es que muchos de los parches que se presentan son incompatibles con aplicaciones SSL actuales, por lo que llegamos al día de hoy y al anuncio de Mozilla de tomar esta medida drástica. Ayer miércoles fue Jonathan Nightingale de Firefox el que lo explicaba para The Registrer:

CitarSí, suena duro. Matar Java significa desactivar muchas funcionalidades del usuario como el chat de Facebook u otras tantas aplicaciones basadas en Java dentro de las empresas. Actualmente ya existía un mecanismo de bloqueo de Java que permitía a los usuarios volver a activar el plugin desde el administrador de addons, pero aún con él seguiría habiendo una gran cantidad de usuarios que podrían estar expuestos a la debilidad de Java
Chrome se actualizó la semana pasada nada más saber del exploit con un parche que ha mostrado varias incompatibilidades en algunos sitios web. Por su parte Microsoft se encuentra trabajando en un parche que palie el posible ataque.

Sea como fuere, si Firefox decide finalmente dejar de trabajar con Java causaría una gran variedad de problemas en la web bastante graves. Primero para los usuarios, y en segundo lugar para todo el entramado de trabajo de las empresas y compañías que funcionan con Java en el navegador. La palabras a última hora de Nightingale no dejan lugar a dudas sobre el drástico planteamiento:

CitarSea cual sea la decisión que tomemos ahora, realmente espero que Oracle reciba una actualización propia. Es la única manera que habrá de mantener a los usuarios afirmativamente a salvo


Visto en http://alt1040.com/2011/09/firefox-plantea-eliminar-java-para-proteger-a-los-usuarios-del-exploit-beast
Relacionado: http://foro.elhacker.net/noticias/beast_descarga_la_herramienta_para_crackear_el_trafico_ssltls_de_forma_rapida-t340013.0.html

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

crony_mk

pues lo mas conveniente como la mayoria de los casos es que la actualizacion la realize Oracle quien es el responsable de java, de lo contrario tendrian que buscar otra forma de cifrar/descifrar sin emplear dicha tecnologia... buena info!!

тαптяα

No me imagino ningun navegador sin JAVA. ¿Qué haces?

De hecho probad a desinstalar JAVA(o desactivadlo del navegador) y ya vereis como las pasais por internet.

Foxy Rider

Ahá, java era 1 de los PoC para explotar el fallo, el paper describe 3 ... (hay más formas, dicho sea de paso)

P.S: lo mejor que tienen los usuarios de Firefox es NoScript ...

Alt255

Citarlo mejor que tienen los usuarios de Firefox es NoScript ...

Totalmente de acuerdo. Desde que uso NoScript no he tenido problemas y mi equipo ha estado siempre seguro. Ya es hora que los internautas empiecen a decidir que desean ver y qué no!

Foxy Rider

Cita de: Alt255 en 30 Septiembre 2011, 00:16 AM
Totalmente de acuerdo. Desde que uso NoScript no he tenido problemas y mi equipo ha estado siempre seguro. Ya es hora que los internautas empiecen a decidir que desean ver y qué no!

NoScript, Ghostery , Adblock, HTTPS Everywhere, OptimizeGoogle, etc ...
Son varias extensiones que "limpian" porquerías que hay por la red ~

Igual, no me refería como un comentario general, NoScript bloquea los diversos PoCs que se publicaron para BEAST, la cuestión es no ser tonto y no dar permisos a cosas innecesarias nomás ~

Saludos.

WHK

Cita de: vertex@Symphony en 30 Septiembre 2011, 01:54 AM
NoScript, Ghostery , Adblock, HTTPS Everywhere, OptimizeGoogle, etc ...
Son varias extensiones que "limpian" porquerías que hay por la red ~

Igual, no me refería como un comentario general, NoScript bloquea los diversos PoCs que se publicaron para BEAST, la cuestión es no ser tonto y no dar permisos a cosas innecesarias nomás ~

Saludos.

Mozilla no puede obligar a todos a usar no-script, no todos saben de informática y si le instalo ese complemento a mi abuelita entonces no va a poder ver ni si quiera su correo.

Es buena alternativa pero no una opción global.
El problema que yo veo es que el explorador es el que no debería dar tanto acceso a un objeto ya sea activex o applet a menos que se configure manualmente desde las opciones al igual que los hta de iexplorer.

Mozilla no puede depender del sistema de seguridad de adobe u oracle, ya que al dejar abierta la puerta del  <object> o <embaled> están dando paso a que cualquiera pueda manipular tus datos a gusto.

El problema no es que java tenga un bug sino que firefox no puede permitir que un objeto tenga tanto acceso al mismo explorador o todos estaremos a merced de adobe y oracle.

Yo optaría por deshabilitar el tag object y embaled globalmente para todos y activarlo unicamente bajo configuración manual, si alguien quiere dejar la seguridad de su pc en manos de oracle ya es decisión de cáda uno.

Por mi feliz que desactiven java porque nunca lo he usado salvo una o dos veces para hacer pruebas y bajo ningún explorador.
Las aplicaciones java son exageradamente pesadas para tareas tan basicas que las puedes encontrar en otra parte en otros lenguajes.
Por ejemplo chats hay mcuhos en flash buenos como xat.com, clientes ftp usas mozilla filezilla, y para control interno de ejecución de cosas puedes darle permisos especiales a javascript para que utilize wscript.shell y ya o en linux algún otro puente.

¿Quien dijo que java era impresindible?

Si yo tengo una empresa donde todos usan flash no quiere decir que sea impresindible para todos.

Foxy Rider

#7
La sugerencia iba para la gente que le interese, en ningún momento dije de instalarle noscript a tu abuela ...
Igual ... Lo mismo pasa con desactivar Java ... hay sitios que no le van a andar a  tu abuelita ... Entonces estamos en un grave problema ...

Esta "solución" es masturbarse, lisa y llanamente (no me importa si se usa o no se usa java, esa es otra cuestión) ...  la gente de Chromium estaba al tanto del problema y se puso a arreglarlo en vez de esta cosa que propone mozilla (que siquiera es una solución)

http://www.theregister.co.uk/2011/09/21/google_chrome_patch_for_beast/

Saludos.

P.S: Y dicho sea de paso, ni se te ocurra decir que Java es prescindible (yo por ejemplo, lo uso desde que prendo la computadora), hay un montón de aplicaciones que lo usan y que son irremplazables (y sugerir usar flash es tragicómico) ... y la gente no vá a dejar de usar lo que necesita por que el navegador "lo diga", vá a cambiar de navegador, tan simple como eso.

Lunfardo

gente Java y javascript son dos cosas totalmente diferentes =), de echo no se ven muchos Java applets

Foxy Rider

Cita de: Lunfardo en 30 Septiembre 2011, 17:29 PM
gente Java y javascript son dos cosas totalmente diferentes =), de echo no se ven muchos Java applets

Te felicito.
Lee el paper, con las dos cosas podés explotar el fallo (de hecho plantean 3 métodos de los varios que hay ... con Java, Silverlight y WebSockets) ... además, NoScript bloquea más que javascript (También bloquea Java y Flash por ejemplo)