image

'Gebruik aparte browser voor Java'

donderdag 17 januari 2013, 10:50 door Redactie, 15 reacties

De veiligheid van Java is door recente beveiligingslekken verder onder druk komen te staan, toch is het uitschakelen of verwijderen van de Java plug-in niet voor iedereen een geschikte oplossing. Hoewel Java, niet te verwarren met JavaScript, voor maar zeer weinig websites echt noodzakelijk is, kan dit nog steeds voorkomen. Zo verplichten sommige banken of bedrijven het gebruik van Java.

Het Japanse anti-virusbedrijf Trend Micro adviseert gebruikers die niet zonder Java kunnen om hiervoor een tweede browser te gebruiken. "Kies een secondaire browser voor het gebruik van sites die Java gebruiken en schakelt het uit in je primaire browser.. Als je bijvoorbeeld een Chrome-gebruiker bent, kun je Firefox of Internet Explorer voor Java-sites gebruiken", zegt Jonathan Leopando.

Plug-in
Leopando herhaalt het advies van het Finse F-Secure van vorig jaar. Ook toen kregen het Java-gebruikers een aparte browser te gebruiken, of een plug-in zoals NoScript in te schakelen. Hiermee is het per website mogelijk om het gebruik van Java toe te staan. Inmiddels beschikt ook Chrome over een soortgelijk mechanisme.

Gisteren werd bekend dat er mogelijk ook in de allerlaatste Java-versie, die zondagavond verscheen, een beveiligingslek zit. Deze zero-day kwetsbaarheid werd op een cybercrime-forum verkocht. Het is nog altijd niet bevestigd of het hier inderdaad om een nieuw lek gaat.

Reacties (15)
17-01-2013, 11:07 door Anoniem
Om dan vervolgens via die andere browser toch je OS te infecteren?
17-01-2013, 11:21 door MrBil
Je was me voor Anoniem. Wat een knuppel is diegene die dit bericht publiceerd, uberhaupt dat het op Security.nl staat.
17-01-2013, 11:53 door eppye
??waarom zo negatief?? slechte dag gehad??
als je fiefox mét java gebruikt alleen voor je bank, en chrome (zonder java) voor de rest, je veiligheid vergroot wordt.
of zie ik dan iets ovr eht hoofd?

mvg
henk-jan
17-01-2013, 13:01 door Anoniem
Door Anoniem: Om dan vervolgens via die andere browser toch je OS te infecteren?

Niet mee eens, als je Java slechts een enkele keer nodig hebt en je voor het reguliere werk een browser gebruikt zonder Java, ben je 99% van de tijd niet kwetsbaar voor Java exploits. Dat scheelt toch aanzienlijk.
17-01-2013, 13:37 door Anoniem
henk-jan, dan zie je inderdaad iets over het hoofd. aangezien de lek in Java zit, niet in de browser...
17-01-2013, 13:40 door WhizzMan
De eerste poster heeft het op zich gewoon goed. Java lekken besmetten niet alleen je browser, maar je hele OS. Als je eenmaal besmet bent, maakt het niet meer uit dat je een aparte browser gebruikt voor bepaalde doeleinden.

Wat wel helpt inderdaad is een aparte browser te hebben voor de paar java-applets die je nodig hebt. Zet iets als noscript aan op die browser en whitelist alleen de apps/sites die je vertrouwt. Maak deze browser niet de default browser op je systeem, zodat je niet perongeluk door op een link te klikken deze browser opent. Zo kan je ook "perongeluk" veel minder makkelijk besmet worden. Het blijft behelpen en inderdaad, het advies "gebruik een aparte browser voor java" is incompleet en daardoor niet echt behulpzaam.
17-01-2013, 13:47 door Anoniem
In Firefox kan je nu per site tijdelijke of permanente toestemming geven voor had laden van Java. Als je dat alleen voor noodzakelijke en vertrouwde sites, zou dat dan niet voldoende zijn?
Clusenco
17-01-2013, 13:55 door eppye
zoals ik eea begreep:
- in browser kan ik java-plugin al dan niet activeren.
- browser 1: mét javaplug.
- browser2: zonder java-plug.

Dan kan ik dan met browser1 naar mijn bank gaan. (bank zal toch wel niet besmet zijn ;-)
met browser2 doe ik de rest......

Neen, het artikel bevat geen 100% eenduidige instructies.
maar het lijkt me een eg goed idee voor diegenen niet java echt nodig hebben., en toch veiliger wille nwerken.

mvg,
henk-jan
17-01-2013, 14:38 door Anoniem
Zo verplichten sommige banken of bedrijven het gebruik van Java.

Dit argument wordt vaker opgevoerd, waar zijn de voorbeelden?

De enige bank die ik heb gezien die het gebruik van java doet vermoeden is de ING (https://mijn.ing.nl/internetbankieren/SesamLoginServlet) maar die zonder Java plugin of ook maar de aanwezigheid van Java op het OS prima functioneert. Over welke bank(en) hebben we het dan wel?

Wat betreft bedrijven die het activeren van Java verlangen heb ik dit alleen zien voorkomen wanneer je gebruik wil maken van bijvoorbeeld de chat functie met support / service desk (een antivirus bedrijf bijvoorbeeld) .

Verder is gebruik van een aparte browser alleen misschien niet veilig genoeg en is het veiliger hiervoor een aparte user account aan te maken met en lokaal geïnstalleerde browser. Bij besmetting zal, in het beste geval, alleen dat account gecompromitteerd worden.

Wanneer je dan de uitgaande firewall ook nog zo instelt dat alleen connectie is toegestaan met de servers / ip adressen die nodig zijn voor de basis functies van betreffende site (third party connecties voor video / reclame / tracking etc. geblokkeerd) en met maximale limitering van internetconnectie van andere programma's, is denk ik het risico op besmetting vergaand verlaagd.

Overigens denk ik wel dat alleen het deactiveren van de java-werking in de browser de zwakst denkbare oplossing is :

je kan wachten op het moment dat er een truc bedacht is om bijvoorbeeld het woord "false" in de voorkeuren van je browser of Java programma te laten wijzigen in "true".
Al dan niet met gebruik van een omweg middels een ander script of kwetsbaarheid dat in office, open office, libreoffice, acrobat reader, flashplayer, shockwave player,... ... aanwezig is of gevonden wordt, danwel middels social engineering in de vorm van een fake update melding (download van aangepast 'pref'-file naar de juiste directory en de 'oude' overschrijvend).
17-01-2013, 15:30 door Anoniem
gewoon linux gebruiken,dan is de kans het kleinst dat je besmet raakt met rommel.
17-01-2013, 15:55 door Anoniem
Door Anoniem:
Zo verplichten sommige banken of bedrijven het gebruik van Java.

Dit argument wordt vaker opgevoerd, waar zijn de voorbeelden?

Het is een overgenomen buitenlands persbericht. De situatie in Nederland is heel anders.
Java heb je bij consumenten telebankieren niet nodig.
17-01-2013, 16:06 door Anoniem
Door Anoniem: henk-jan, dan zie je inderdaad iets over het hoofd. aangezien de lek in Java zit, niet in de browser...
Volgens mij ziet Henk-Jan niets over het hoofd. Als je, zoals hij zegt, de browser met Java-ondersteuning inderdaad alleen gebruikt voor die enkele website die volkomen legitiem is, zoals je bank, loop je geen noemenswaardige kans dat het lek geëxploiteerd wordt.
Door WhizzMan: De eerste poster heeft het op zich gewoon goed. Java lekken besmetten niet alleen je browser, maar je hele OS. Als je eenmaal besmet bent, maakt het niet meer uit dat je een aparte browser gebruikt voor bepaalde doeleinden.
Als dat zo is dan zit er ook een lek in het OS zelf. De browser en de Java-plugin draaien toch hopelijk onder beperkte user-rechten? Ik weet dat alle bestanden van die gebruiker ook met zijn rechten bereikbaar zijn, dat er bij zijn aanlog dingen gestart kunnen worden, en dat al erg genoeg is, maar toch gaat het verkrijgen van root/admin-rechten nog een significant stapje verder dan uit een sandbox breken.
17-01-2013, 16:50 door Anoniem
Het verhaal wordt veel sterker als je een aparte browser met Java in een aparte Sandbox / VM draait; zodat de Java runtime zelf niet alsof systeem-wide geinstalleerd wordt ...
17-01-2013, 17:48 door Anoniem
hallo

gebruiken jullie die hier posten allemaal , ook nog java ?

zelf gooi ik Java het liefst er uit
maar dan loop ik tegen het probleem aan,
omdat mijn Pc game van Battlefield 3 Java plug-in updates heeft
om de zoveel tijd

in de IE 9 heb ik deze x2 Java Helpers wel uit staan en meer zie ik niet van Java

iedereen mag reageren ,nu we het toch over Java hebben
en beter te veel er over hebben, en een goeie oplossing krijgen
dan niet weten wat het beste is om te doen met Java
18-01-2013, 14:24 door Anoniem
Beste Anoniem 17:48

Wellicht helpt mijn eerdere post onder een ander artikel je met wat aanpassingen op weg.

Het betrof mogelijkheden op de Mac maar deels denk ik ook toe te passen op een pc;
het draaien van meerdere os-en op één schijf, gebruik van meerdere account voor verschillende toepassingen en gelimiteerde instellingen, of het opstarten van een os met java functionaliteit d.m.v. een externe harddisk voor als je wil gamen (weet niet of dat de snelheid teveel zou beperken).

Zie : https://www.security.nl/artikel/44714/1/Microsoft-architect%3A_formatteer_besmette_pc.html
Posts : Dinsdag, 17:55 door Anoniem / Dinsdag, 18:57 door Anoniem

Aparte pc erbij kan natuurlijk ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.