題 在Google Chrome中禁用Java插件?


這是 第二 我使用以下方法在我的機器上安裝了偷渡式可執行文件:

  • 谷歌Chrome 6(最新)
  • Windows 7,UAC上

這是在我瀏覽圖片以添加到gaming.se帖子時發生的;我訪問過的其中一個網站(獲取傳輸電纜的圖像)必須運行瀏覽器瀏覽器漏洞代碼。

UAC提醒我一個奇怪的臨時可執行文件想要運行,我拒絕了,但我 仍然 我的機器上運行了假的防病毒可執行文件。嘆..

我確實安裝了Java 因為我每月將內容上傳到clearbits.net,他們的上傳器是一個Java插件。所以我最好的猜測是,網站正在做 偷渡式安裝 使用 Java瀏覽器插件中存在大量零日漏洞

現在,我已經卸載了Java,它可以工作。但我想知道我是否可以 禁用Google Chrome中的Java插件 代替。

那麼,如何在谷歌瀏覽器中禁用這些易受攻擊的插件?我找不到用戶界面。


155
2017-10-20 18:46


起源


你是如何檢測這個偷渡式可執行文件的? - Leonel
您始終可以在此處查看是否需要更新插件: mozilla.com/en-US/plugincheck - travis
@paper我用過 microsoft.com/security_essentials - Jeff Atwood
前幾天我從PDF中得到了類似的東西......而且最重要的是,如果我只記得我不打算打開它,我本可以避免它! - SamB
你怎麼知道它是Java中的漏洞而不是webkit中的漏洞? - BlueRaja - Danny Pflughoeft


答案:


特別是對於Java, Chrome現在默認在所有頁面上禁用Java 並提示您允許它在每次站點需要時運行。

對於更常見的插件擔憂,Chrome允許您完全阻止所有網站上的所有插件,然後允許您在頁面上有選擇地啟用它們而無需重新加載它們。您還可以配置特定URL的例外。

要啟用此功能,請在設置網址的插件部分下: chrome://settings/content 選擇“全部阻止”。

啟用此選項後,如果要在頁面上運行插件,則有3個選項:

  • 右鍵單擊插件,然後從上下文菜單中選擇“運行此插件”
  • 單擊URL欄中的插件圖標,然後選擇“此次運行所有插件
  • 為您信任的站點添加例外,以便每次都可以在沒有您明確許可的情況下運行插件

Chrome還有一個“點擊播放”設置,該設置隱藏在某些版本的Chrome中的旗幟後面。作為一名評論者提到,這個選項容易受到點擊劫持攻擊,所以我建議不要使用它。你最好使用“全部阻止”功能。


136
2017-10-20 19:22





我在Google Chrome上發現了一個非常老的錯誤/功能請求 這裡
它出現在Chrome 6.0或更高版本中。訪問 chrome://plugins/ 要么 about:plugins 並在那裡禁用Java。

alt text

一旦我這樣做,去 確保 Java被禁用,我訪問了一個 Java插件演示頁面。 確實它被禁用了:

alt text

但我的一般建議是卸載Java - 你  不要在你的系統上使用Java,除非你絕對必須擁有它...因為它有很多新的漏洞。

我還建議禁用你並不一定需要的任何插件。每個啟用的插件都是攻擊面,而另一個需要保持更新的東西。


73
2017-10-20 18:51



我最終禁用了15個插件我不知道我有... - juan
難道你不能進入並刪除“netscape”(和IE,我猜)插件DLL,而不是卸載一切? - SamB
以他們的智慧,甲骨文打破了那些sun.com鏈接。我用google搜索“java applet demo”並嘗試了第一個非sun鏈接。是的,看起來現代Chrome默認禁用Java。 - Jason
從Chrome 57插件頁面開始不再可訪問。 - anton_rh


我與Java一起使用的一個小技巧是只搜尋並安裝x64版本,我只在我啟動IE x64以使用像你引用的一次性Java應用程序時才使用它。


31
2017-10-20 19:07



哦,男人,這是一個很棒的小費;當我想在“瀏覽器我從不使用但仍然有用”中進行測試時,我以類似的方式使用IE 64位 - Jeff Atwood


要僅禁用Java插件,可以使用 -disable-java 啟動開關。例:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

導航到 http://java.com/en/download/help/testvm.xml 重啟瀏覽器後給出了很好的消息

您的系統上未檢測到正在運行的Java。單擊下面的按鈕安裝Java。

人們可以閱讀其他開關 Google Chrome高級用戶指南。還有其他有用的信息。


10
2018-02-19 08:51





雖然這可能是一個簡單的修復,只是充分阻止Java,如果你贊成採用更全面的方法,你可能更喜歡使用以下組合:

  • Secunia公司 PSI/VIM 用於通知更新,漏洞和自動更新
  • 微軟 EMET 用於防止堆棧溢出等
  • 緩衝區 防止安裝人員駕駛
  • iCore虛擬賬戶 有時你需要在生產機器上走網的黑暗面(登錄/退出並使用半虛擬化有點不方便,所以有一些開銷 - 但是當你只有一台機器可供你使用時...... )

這應該可以保護您免受Java漏洞的侵害。

為了衡量這些方法的有效性(僅EMET似乎停止了90%),您可能想要使用 社會工程工具包


9
2017-11-09 09:32





而不是在Chrome中禁用插件,另一種可能性是配置Java以便為所有瀏覽器禁用它。

要做到這一點:

  1. 打開Java控制面板(C:\Program Files\Java\jre7\bin\javacpl.exe
  2. 轉到“安全”選項卡
  3. 取消選中“在瀏覽器中啟用Java內容”
  4. Java告訴你重啟瀏覽器後它會生效

0
2018-02-11 17:18