Вопрос: Отключить плагин Java в Google Chrome?


Это второй у меня был установлен исполняемый файл на моем компьютере, используя следующее:

  • Google Chrome 6 (последний)
  • Windows 7, UAC on

Это произошло, когда я просматривал изображения для добавления в сообщение gaming.se; на одном из сайтов, которые я посетил (чтобы получить изображение транспортного кабеля), должен быть запущен код эксплойта с помощью браузера.

UAC предупредил меня, что странный временный исполняемый файл хотел запустить, и я отказался, но я все еще получил поддельный исполняемый файл антивируса на моей машине. Вздох..

У меня установлена ​​Java потому что я загружаю материал ежемесячно в clearbits.net, а их загрузчик - это Java-плагин. Поэтому я думаю, что веб-сайты установочные диски используя огромное количество уязвимостей с нулевым днем ​​в плагинах браузера Java,

На данный момент я удалил Java, который работает. Но я подумал, могу ли я отключить плагин Java в Google Chrome вместо.

Итак, как вы отключите эти уязвимые плагины в Google Chrome? Я не могу найти интерфейс.


155
2017-10-20 18:46


Источник


Как вы обнаружили этот исполняемый файл? - Leonel
Вы всегда можете увидеть, нужно ли обновлять плагины здесь: mozilla.com/en-US/plugincheck - travis
@paper Я использовал microsoft.com/security_essentials - Jeff Atwood
На днях я получил аналогичную статью из PDF ... и, прежде всего, если бы я только помнил, что я не хотел ее открывать, я бы мог избежать этого! - SamB
Как вы знаете, что это уязвимость в Java, а не уязвимость в webkit? - BlueRaja - Danny Pflughoeft


Ответы:


Для Java, Chrome теперь отключает Java по умолчанию на всех страницах и предлагает вам разрешить ему запускать каждый раз, когда сайт нуждается в нем.

Для более общих проблем с плагинами Chrome позволяет полностью блокировать все плагины на всех сайтах, а затем позволяет выборочно включать их на странице без перезагрузки. Вы также можете настроить исключения для определенных URL-адресов.

Чтобы включить это, в разделе Plug-ins настроек url: chrome://settings/content выберите «Заблокировать все».

Если этот параметр включен, если вы хотите запускать плагины на странице, у вас есть 3 варианта:

  • Щелкните правой кнопкой мыши плагин и выберите «Запустить этот плагин» в контекстном меню
  • Щелкните значок плагина в строке URL и выберите «Запустить все плагины на этот раз
  • Добавьте исключение для сайтов, которым вы доверяете, чтобы они могли запускать плагины без вашего явного разрешения каждый раз

Chrome также имеет настройку «Нажмите, чтобы воспроизвести», которая скрыта за флагом в некоторых версиях Chrome. Как отметил комментатор, этот вариант уязвим для атак с клик-айдом, поэтому я бы посоветовал не использовать его. Вам лучше работать с функцией «Заблокировать все».


137
2017-10-20 19:22





Я нашел действительно старый запрос об ошибке / функции в Google Chrome Вот,
Он отображается в Chrome 6.0 или новее. Посещение chrome://plugins/ или about:plugins и отключить Java там.

alt text

Как только я это сделал, убедиться Java отключен, я посетил Демо-страница плагина Java, И действительно, он был отключен:

alt text

Но моя общая рекомендация - удалить Java - вы действительно не хотите, чтобы Java работала в вашей системе, если вам абсолютно не нужно ее иметь ... потому что для нее существует так много новых эксплойтов.

Я также рекомендую отключить любые плагины, которые вам не нужны. Каждый включенный плагин является поверхностью атаки, и еще одна вещь, которая должна быть обновлена.


73
2017-10-20 18:51



Я закончил отключать, как 15 плагинов, которые я не знал, что у меня было ... - juan
Не могли бы вы просто зайти и удалить DLL-модули плагина «netscape» (и IE, я полагаю), а не деинсталлировать все? - SamB
Oracle, в своей мудрости, нарушили эти ссылки sun.com. Я googled "java applet demo" и попробовал первое не-солнце соединение. Да, похоже, что современный Chrome отключает Java по умолчанию. - Jason
Начиная с версии Chrome 57 плагины недоступны. - anton_rh


Один небольшой трюк, который я использую с Java, - это охота и установка только версии x64, которую я использую только при запуске IE x64 для использования одноразовых приложений на Java, подобных тем, которые вы ссылаетесь.


31
2017-10-20 19:07



о человек, это потрясающий совет; Я использую IE 64 бит аналогичным образом, когда я хочу протестировать «браузер, который я никогда не использую, но все еще работает», - Jeff Atwood


Чтобы отключить Java-плагины, вы можете использовать -disable-java пусковой переключатель. Пример:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Переход на http://java.com/en/download/help/testvm.xml после перезапуска браузера дает хорошее сообщение

В вашей системе не было обнаружено никакой рабочей Java. Установите Java, нажав кнопку ниже.

О других переключателях можно прочитать в Руководство пользователя Power для Google Chrome, Есть и другая полезная информация.


11
2018-02-19 08:51





Хотя это может быть легко исправить, просто блокируя Java, если вы предпочитаете более целостный подход, вы можете предпочесть использовать комбинацию:

  • Secunia PSI/VIM для уведомления об обновлениях, уязвимостях и автоматических обновлениях
  • Microsoft EMET для предотвращения переполнения стека и аналогичных
  • BufferZone для защиты от привода установщиками
  • Виртуальные учетные записи iCore на время, когда вам нужно ходить по темной стороне сети на производственной машине (это немного неудобно для входа / выхода из системы и использует полувиртуализацию, поэтому есть некоторые накладные расходы - но когда у вас только одна машина в вашем распоряжении ... )

Это должно защитить вас от не только уязвимостей Java.

Чтобы измерить эффективность этих подходов (только EMET, по-видимому, останавливает 90% из них), вы можете захотеть использовать Инструментарий социальной инженерии,


9
2017-11-09 09:32





Вместо отключения плагина в Chrome еще одна возможность - настроить Java, чтобы отключить его для всех браузеров.

Для этого:

  1. Откройте панель управления Java (C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Перейдите на вкладку «Безопасность»
  3. Снимите флажок «Включить контент Java в браузере»
  4. Java сообщает, что он вступает в силу после перезапуска браузера (ов)

0
2018-02-11 17:18