Nonaktifkan Plugin Java di Google Chrome?

Ini adalah kedua kalinya saya menginstal drive-by executable pada mesin saya menggunakan yang berikut:

• Google Chrome 6 (terbaru)
• Windows 7, UAC aktif

Ini terjadi ketika saya sedang mencari gambar untuk ditambahkan ke posting gaming.se; salah satu situs yang saya kunjungi (untuk mendapatkan gambar kabel transfer) pasti menjalankan drive-by browser exploit code.

UAC mengingatkan saya bahwa executable sementara yang aneh ingin dijalankan, dan saya menolak, tetapi saya masih menjalankan antivirus palsu yang dijalankan di mesin saya. Mendesah..

Saya sudah menginstal Java karena saya mengunggah barang-barang setiap bulan ke clearbits.net dan pengunggah mereka adalah plugin Java. Jadi tebakan terbaik saya adalah, situs web melakukan pemasangan drive-by menggunakan sejumlah besar kerentanan zero-day di plugin browser Java .

Untuk saat ini, saya telah menghapus instalan Java, yang berfungsi. Tapi saya bertanya-tanya apakah saya bisa menonaktifkan plugin Java di Google Chrome sebagai gantinya.

Jadi, bagaimana Anda menonaktifkan plugin yang rentan ini di Google Chrome? Saya tidak dapat menemukan UI.

Khusus untuk Java, Chrome sekarang menonaktifkan Java secara default di semua halaman dan meminta Anda untuk mengizinkannya berjalan setiap kali situs membutuhkannya.

Untuk kekhawatiran plugin yang lebih umum, Chrome memungkinkan Anda untuk memblokir semua plugin di semua situs sepenuhnya, dan kemudian memungkinkan Anda untuk mengaktifkannya secara selektif di halaman tanpa memuat ulang. Anda juga dapat mengonfigurasi pengecualian untuk URL tertentu.

Untuk mengaktifkan ini, di bawah bagian Plug-in dari url pengaturan: chrome://settings/contentpilih "Blokir Semua".

Dengan opsi ini diaktifkan, ketika Anda ingin menjalankan plugin pada halaman, Anda memiliki 3 opsi:

• Klik kanan pada plugin dan pilih "Run this plug-in" dari menu konteks
• Klik ikon plugin di bilah URL dan pilih "Jalankan semua plug-in kali ini
• Tambahkan pengecualian untuk situs yang Anda percaya sehingga mereka dapat menjalankan plugin tanpa izin eksplisit Anda setiap kali

Chrome juga memiliki pengaturan "Klik untuk memainkan" yang tersembunyi di balik bendera di beberapa versi Chrome. Seperti disebutkan oleh seorang komentator, opsi ini rentan terhadap serangan clickjacking jadi saya akan menyarankan agar tidak menggunakannya. Anda lebih baik dengan fitur "Blokir semua".

Saya menemukan permintaan bug / fitur yang sangat tua di Google Chrome di sini .
Itu muncul di Chrome 6.0 atau yang lebih baru. Kunjungi chrome://plugins/atau about:pluginsnonaktifkan Java di sana.

Setelah saya melakukan ini, untuk memastikan Java dinonaktifkan, saya mengunjungi halaman demo plugin Java . Dan memang itu dinonaktifkan:

Tetapi rekomendasi umum saya adalah menghapus instalasi Java - Anda benar - benar tidak ingin Java pada sistem Anda kecuali Anda benar-benar harus memilikinya .. karena ada begitu banyak eksploitasi baru untuknya.

Saya juga merekomendasikan untuk menonaktifkan plugin yang tidak Anda perlukan. Setiap plugin yang diaktifkan adalah permukaan serangan, dan satu hal lagi yang perlu selalu diperbarui.

Salah satu trik kecil yang saya gunakan dengan Java adalah untuk berkeliling dan menginstal versi x64 saja, yang hanya saya gunakan ketika saya menjalankan IE x64 untuk menggunakan aplikasi Java hanya sekali saja seperti yang Anda referensi.

Untuk hanya menonaktifkan plugin Java seseorang dapat menggunakan -disable-javasakelar startup. Contoh:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Menavigasi ke http://java.com/en/download/help/testvm.xml setelah restart browser memberikan pesan yang bagus

Tidak ada Java yang berfungsi terdeteksi di sistem Anda. Instal Java dengan mengklik tombol di bawah ini.

Seseorang dapat membaca tentang sakelar lain di Panduan Pengguna Daya untuk Google Chrome . Ada informasi bermanfaat lainnya juga.

Meskipun mungkin perbaikan yang mudah, cukup memblokir Java, jika Anda mendukung pendekatan yang lebih holistik, Anda mungkin lebih suka menggunakan kombinasi dari:

• Secunia PSI / VIM untuk pemberitahuan pembaruan, kerentanan dan pembaruan otomatis
• Microsoft EMET untuk mencegah stack overflow dan sejenisnya
• BufferZone untuk perlindungan dari drive oleh penginstal
• Akun Virtual iCore untuk saat-saat ketika Anda harus berjalan di sisi gelap jaring pada mesin produksi (agak tidak nyaman untuk login / logout dan menggunakan semi-virtualisasi sehingga ada beberapa overhead - tetapi ketika Anda hanya memiliki satu mesin yang dapat Anda gunakan ...)

Ini seharusnya melindungi Anda dari lebih dari sekadar kerentanan Java.

Untuk mengukur efektivitas pendekatan ini (EMET saja tampaknya menghentikan 90% dari mereka), Anda mungkin ingin menggunakan Perangkat Rekayasa Sosial .

Alih-alih menonaktifkan plugin di Chrome, kemungkinan lain adalah mengonfigurasi Java untuk menonaktifkannya untuk semua browser.

Untuk melakukannya:

1. Buka Java Control Panel ( C:\Program Files\Java\jre7\bin\javacpl.exe)
2. Buka tab Keamanan
3. Hapus centang "Aktifkan konten Java di browser"
4. Java memberi tahu Anda bahwa itu akan berlaku setelah memulai ulang browser