Вимкнути плагін Java в Google Chrome?

Це вже другий раз, коли у мене на моєму комп'ютері встановлено виконувану програму за допомогою наступного:

• Google Chrome 6 (найновіше)
• Windows 7, UAC увімкнено

Це сталося під час перегляду зображень, які можна додати до публікації на gaming.se; на одному з відвідуваних нами сайтів (щоб отримати зображення кабелю для передачі), напевно, був запущений код експлуатації браузера.

UAC попередив мене, що дивний тимчасовий виконуваний файл хочеться запустити, і я відмовився, але я все одно отримав підроблений антивірусний виконуваний файл на моїй машині. Зітхати ..

У мене встановлена ​​Java, оскільки я щомісяця завантажую матеріали на clearbits.net, а їх завантажувач - плагін Java. Тому я найкраще здогадуюсь, що веб-сайти роблять приводні установки, використовуючи величезну кількість вразливих версій у нульовий день у плагінах браузера Java .

Наразі я видалив Java, яка працює. Але я задумався, чи можу я замість цього відключити плагін Java в Google Chrome .

Отже, як вимкнути ці вразливі плагіни в Google Chrome? Я не можу знайти інтерфейс користувача.

Спеціально для Java Chrome зараз відключає Java за замовчуванням на всіх сторінках і пропонує вам дозволити її запускати кожного разу, коли сайт потребує цього.

Для більш загальних проблем із плагінами Chrome дозволяє повністю блокувати всі додатки на всіх сайтах, а потім дозволяє вибірково включати їх на сторінці, не перезавантажуючи її. Ви також можете налаштувати винятки для конкретних URL-адрес.

Щоб увімкнути це, у розділі "Плагіни" URL-адреси налаштувань: chrome://settings/contentвиберіть "Блокувати всі".

Якщо цей параметр увімкнено, коли ви хочете запускати плагіни на сторінці, у вас є три варіанти:

• Клацніть правою кнопкою миші на плагіні та виберіть "Запустити цей плагін" у контекстному меню
• Клацніть піктограму плагіну в рядку URL-адреси та виберіть "Запустити всі додатки цього разу
• Додайте виняток для сайтів, яким ви довіряєте, щоб вони могли запускати плагіни без вашого явного дозволу кожен раз

У Chrome також є налаштування "Клацніть, щоб грати", яке приховано за прапором у деяких версіях Chrome. Як зазначав коментатор, ця опція вразлива для атак на клік-джек, тому я б радив не використовувати її. Вам краще за допомогою функції «Блокувати все».

Я знайшов запит про помилку / особливість дійсно старий на Google Chrome тут .
Він з’являється в Chrome 6.0 або новішої версії. Відвідайте chrome://plugins/або about:pluginsвідключіть там Java.

Як тільки я це зробив, щоб переконатися, що Java відключена, я відвідав демонстраційну сторінку плагінів Java . І справді це було відключено:

Але моя загальна рекомендація полягає в тому, щоб видалити Java - ви дійсно не хочете, щоб Java у вашій системі, якщо ви абсолютно не позитивно матимете її .. тому що для неї так багато нових подвигів.

Я також рекомендую вимкнути будь-які плагіни, які вам абсолютно не потрібні. Кожен включений плагін - це атакова поверхня, і ще одна річ, яку потрібно постійно оновлювати.

Один невеликий трюк, який я використовую з Java, - це розшукувати і встановити лише версію x64, яку я використовую лише тоді, коли я запускаю IE x64, щоб використовувати одноразові додатки Java, такі як, на які ви посилаєтесь.

Для відключення плагінів Java можна використовувати -disable-javaперемикач запуску. Приклад:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Навігація до http://java.com/en/download/help/testvm.xml після перезавантаження браузера дає приємне повідомлення

У вашій системі не виявлено жодної робочої Java. Встановіть Java, натиснувши кнопку нижче.

Про інші комутатори можна прочитати в Посібнику користувача Power для Google Chrome . Є й інша корисна інформація.

Хоча це може бути легким виправленням, просто блокуванням Java, якщо ви підтримуєте більш цілісний підхід, ви можете скористатися комбінацією:

• Secunia PSI / VIM для повідомлення про оновлення, вразливості та автоматичні оновлення
• Microsoft EMET для запобігання переповнення стека та подібного
• BufferZone для захисту від приводу монтажниками
• iCore Віртуальні акаунти для періодів, коли вам потрібно ходити по темній стороні мережі на виробничій машині (це трохи незручно для входу / виходу та використовує напіввіртуалізацію, тому є деякі накладні витрати, але коли у вас є лише одна машина у вашому розпорядженні ...)

Це повинно захистити вас від більш ніж уразливості Java.

Для вимірювання ефективності цих підходів (лише EMET, здається, зупиняє їх 90%), ви можете скористатися інструментарієм соціальних інженерій .

Замість того, щоб вимкнути плагін у Chrome, інша можливість - це налаштування Java, щоб відключити її для всіх браузерів.

Для цього:

1. Відкрити панель керування Java ( C:\Program Files\Java\jre7\bin\javacpl.exe)
2. Перейдіть на вкладку Безпека
3. Зніміть прапорець "Увімкнути вміст Java у веб-переглядачі"
4. Java повідомляє вам, що це набере чинності після перезавантаження браузера