O groźnych (i wciąż niezałatanych) lukach w Javie informowałam pod koniec sierpnia. We wtorek, 25 września, na liście Bugtraq pojawiło się doniesienie o kolejnym błędzie odkrytym przez Adama Gowdiaka, który zweryfikował jego istnienie w wersjach 5u22, 6u35 i 7u7 - z dużym prawdopodobieństwem można założyć, że pozostałe wydania „piątki”, „szóstki” i „siódemki” też zawierają tę podatność.

Jak się zabezpieczyć przed szkodliwymi skryptami/apletami, które grasują już w internecie lub niebawem powstaną? Propozycja wyłączenia Javy nie spodobała się Czytelnikom Dziennika Internautów, dzisiaj mam więc inną - doinstalujmy do używanych przeglądarek odpowiednie wtyczki.

Mozilla Firefox

Jedną z najpopularniejszych wtyczek dla tej przeglądarki, której autorem jest Giorgio Maone - NoScript - znajdziemy pod adresem: addons.mozilla.org/pl/firefox/addon/noscript. Użytkownik może dzięki niej kontrolować wykonywanie skryptów JavaScript i apletów Java na odwiedzanych przez siebie stronach. Wtyczka chroni ponadto przed atakami cross-site scripting (XSS), cross-site request forgery (CSRF), DNS Rebinding oraz clickjacking, w których atakujący może nakładać jedne elementy stron WWW na inne, przechwytywać kliknięcia, przekierowywać użytkowników na sfałszowane witryny bądź przesyłać ich dane do niepożądanych odbiorców.

Aby dodać tę wtyczkę do Firefoksa, klikamy przycisk Zainstaluj widoczny na podanej wyżej stronie (konieczne będzie ponowne uruchomienie przeglądarki). Od tego momentu, odwiedzając dowolny serwis, będziemy mogli skorzystać z menu podobnego do tego poniżej:

Nikomu chyba nie trzeba tłumaczyć, że opcji Zezwól na wszystko tej stronie należy używać z rozwagą, tylko na zaufanych witrynach. Dopóki nie nabierzemy wprawy, lepiej zaznaczać Tymczasowo nie blokuj... - po ponownym uruchomieniu przeglądarki skrypty na danej stronie znów zostaną zablokowane. Adresy stron, które darzymy zaufaniem, można ręcznie wprowadzić na tzw. białą listę. W tym celu wybieramy z menu Ustawienia i przechodzimy do zakładki Zaufane witryny. Możemy tutaj także unieważnić udzielone wcześniej tymczasowe zezwolenia.

Na szczególną uwagę zasługuje zakładka Obiekty osadzone, gdzie możemy ustalić, co wtyczka będzie blokować na niezaufanych witrynach.

W zakładce Zaawansowane możemy dodatkowo włączyć filtry zewnętrzne. Domyślnie do wyboru mamy tylko Blitzableiter (niem. piorunochron), który analizuje kod zawarty w plikach SWF przed przekazaniem go do FlashPlayera.

Google Chrome

W tym przypadku posłużymy się wtyczką NotScripts o podobnej funkcjonalności, której autorem jest Eric Wong - znajdziemy ją w ofercie Chrome Web Store. Aby zainstalować wtyczkę, klikamy przycisk Dodaj do Chrome. Prawdopodobnie od razu otrzymamy komunikat o konieczności ustalenia hasła:

Po kliknięciu Options zobaczymy wskazówki, jak to zrobić. W skrócie: musimy na dysku odszukać folder, w którym znajduje się wtyczka (jej twórca podaje dokładne ścieżki dla różnych systemów). Kolejnym krokiem będzie wyedytowanie pliku CHANGE__PASSWORD__HERE.js i wpisanie co najmniej 20-znakowego hasła składającego się z liter i cyfr. Po ponownym uruchomieniu przeglądarki wtyczka powinna działać poprawnie. Odwiedzając dowolną stronę, zobaczymy menu podobne do tego poniżej:

Tak jak w przypadku wtyczki NoScript dla Firefoksa, dopóki nie nabierzemy wprawy, używajmy opcji tymczasowego odblokowywania skryptów (Temp). NotScripts nie ma rozbudowanego panelu konfiguracyjnego. Po wybraniu Options możemy jednak w zakładce Whitelist/Blacklist samodzielnie dodawać zaufane i niezaufane strony, zatwierdzając zmiany przyciskiem Save Changes.

Opera

Opisaną wyżej wtyczkę NotScripts możemy zainstalować również w Operze - znajdziemy ją pod adresem: addons.opera.com/en/extensions/details/notscripts. Aby zainstalować wtyczkę, klikamy przycisk Add to Opera. Tutaj nie będziemy musieli ustalać żadnego hasła, NotScripts może nas jednak poprosić o zmianę ustawień dotyczących JavaScriptu:

Odwiedzając dowolną stronę, zobaczymy menu podobne do tego w Chrome, a po wybraniu Options w zakładce Lists będziemy mogli samodzielnie dodawać strony do białej i czarnej listy.

Internet Explorer

Nie udało mi się niestety znaleźć podobnej wtyczki dla IE. Co poniektórzy mogą uznać, że niepotrzebnie zawracam sobie głowę tą przeglądarką i... będą niestety w błędzie. Według statystyk Gemius SA udostępnianych w serwisie ranking.pl w ubiegłym tygodniu, tj. w okresie od 17 do 23 września, z Internet Explorera korzystało 19,4 proc. polskich internautów (prawie 867 mln). To wciąż zbyt duża grupa, by móc ją z czystym sumieniem pominąć w podobnym zestawieniu. Dlatego jeżeli ktoś wie o wtyczce typu NoScript dla IE, niech da mi o tym znać w komentarzach - będę bardzo wdzięczna.

Czytaj także: Jak wyłączyć Javę w popularnych przeglądarkach i dlaczego warto to zrobić