鉴于 Java 6 现在已被 Oracle 弃用,并且最近收到了 0day通知(由于 Oracle 没有修补 JRE6,这将永远存在),我们可以做些什么来防止在我们的浏览器中偷偷利用 Java?
我们无法从浏览器中删除 Java,因为我的组织在内部和一些外部小程序中严重依赖 Java。由于一些遗留应用程序,我们目前也无法升级到 Java 7(尽管我们正在加快这个过程,但我看不到它在接下来的 6 个月内发生)。
我已经尝试寻找仅将我们允许的小程序列入白名单的方法,但一切似乎都适用于 Java 7。除了禁用对未签名小程序的支持并确保我们签署所有小程序之外,我们能做些什么吗?
给那些包括通过 GPO 部署解决方案的方法、多浏览器支持(所以可能是 Java 级别的东西,而不是特定于浏览器的东西)的帽子提示。
澄清一下,我们不能升级到 Java 7,也不能从浏览器中删除 Java。我正在寻找一种解决方案,例如只允许浏览器运行小*.mydomain.com程序*.ourfriendsdomain.com。
您的组织可能希望订阅 Java for Business:
随着 Java for Business 的发布,在旧版本系列(1.4、5.0、6 )上运行 Java 应用程序的客户和合作伙伴现在可以选择迁移到新版本或订阅 Java for Business 以继续获得关键的可靠性、可用性和安全性更新,以及对现有应用程序的新操作环境支持。
(http://www.oracle.com/technetwork/java/javase/training/index-jsp-138092.html)
您可以安装 NoScript Firefox 扩展并将您希望允许 Java 的网站添加到白名单中。它将在所有其他网站上阻止 Java(除其他外)。您可能希望全局允许 JavaScript(在 NoScript 中),否则大多数网站都会被破坏。安装它并查看可用选项。也阅读文档。
https://addons.mozilla.org/en-US/firefox/addon/noscript/
您还可以将 Java 配置为在浏览器中运行之前询问用户。此外,您可以从 Java 中删除所有 CA 证书,只添加用于签署 Java 应用程序的证书。您可以在 Java 控制面板中完成所有这些操作。