Mozilla Java’yı kapatıyor mu?
Firefox geliştiricileri son günlerde açıklanan SSL/TLS güvenlik açıkları için potansiyel bir çözüm olarak Oracle’ın Java eklentisini kapatıp kapatmayacağını tartışıyor. Java eklentisi geçen hafta rastgele web sayfalarının şifreli bağlantılar üzerinden gönderilmiş olmasına rağmen yeniden yapılandırılmış olabileceğini gösteren iki araştırmacı Juliano Rizzo ve Thai Duong tarafından ortaya konulan saldırganların güvenlik açıklarından faydalandığı bir bileşendir.
TLS ile kullanılma eğilimindeki Blok Şifreleme Zinciri (CBC) kipinde seçtikleri şifresiz metin saldırısı için Rizzo ve Duong, örneğin, tarayıcının Java uygulama alanı dışında sunucular ile iletişim kurabildikleri Aynı Köken Politikası (SOP)’na atlamak zorundaydılar.
SOP’un amacı tam olarak bunu önlemek olmasına rağmen Java’daki açıklanmamış bir hata kayıtsız bir şekilde saldırganların etkin olduğunu gösteriyor. Firefox geliştiricilerinin düşüncelerinde Java problemini çözmek öncelikle Oracle’ın sorumluluğunda. Ancak Oracle’ın şimdiye kadar cevapsız kalması geliştiricileri güvenlik nedeniyle tüm Java eklentilerinin kapatıldığı bir güncelleme dağıtmayı düşünmeye sevk etmiştir. Lakin bu yapılan işlem bazı kullanıcıların işlevselliğini devre dışı bırakmak olur: Firefox Mühendislik Şefi Johnathan Nightingale tarafından verilen örnekler Facebook’un görüntülü görüşmesi ve çeşitli Java temelli birleşik uygulamaları kapsamaktadır.
Google, Chrome’un geliştirme sürümünde farklı bir çözüm ortaya koydu: saldırganlar için düz metinlerin alınmasını daha zor bir hale getirmek maksadıyla paketler bölündü ve her paketten önce boş bir tane eklendi. Şimdiye kadar alınan raporlar bu yaklaşımın çok az sitede probleme sebep olduğunu öne sürmüştür. Ancak Google’ın bu çözümü Chrome’un kararlı sürümüne ne zaman dahil edeceği bilinmiyor.
Microsoft’un tavsiye ettiği çözüm kullanıcıların TLS 1.0’dan TLS 1.1’e geçmeleri fakat bu yaklaşım sunucuların TLS 1.1’i de desteklemesini gerektiriyor ve şimdiye kadar sadece birkaç sunucu bu desteği sundu. Bazı Firefox geliştiricileri bunun bir şekilde problemi çözmeyeceğini düşünüyor çünkü Java kendi TLS kümesini kullanıyor ve bu küme sadece TLS 1.0 güvenlik açıklarını destekliyor.
Eğer Java eklentisi kapatılırsa internet sitelerinin bir çoğu sıkıntıya girecek gibi görünüyor. Umarız ki alternatif bir uygulama geliştirilir ve hem güvenlikten hem de görsellikten ödün vermeyiz.
Kaynak: h-online