Nonaktifkan Plugin Java di Google Chrome?

157

Ini adalah kedua kalinya saya menginstal drive-by executable pada mesin saya menggunakan yang berikut:

  • Google Chrome 6 (terbaru)
  • Windows 7, UAC aktif

Ini terjadi ketika saya sedang mencari gambar untuk ditambahkan ke posting gaming.se; salah satu situs yang saya kunjungi (untuk mendapatkan gambar kabel transfer) pasti menjalankan drive-by browser exploit code.

UAC mengingatkan saya bahwa executable sementara yang aneh ingin dijalankan, dan saya menolak, tetapi saya masih menjalankan antivirus palsu yang dijalankan di mesin saya. Mendesah..

Saya sudah menginstal Java karena saya mengunggah barang-barang setiap bulan ke clearbits.net dan pengunggah mereka adalah plugin Java. Jadi tebakan terbaik saya adalah, situs web melakukan pemasangan drive-by menggunakan sejumlah besar kerentanan zero-day di plugin browser Java .

Untuk saat ini, saya telah menghapus instalan Java, yang berfungsi. Tapi saya bertanya-tanya apakah saya bisa menonaktifkan plugin Java di Google Chrome sebagai gantinya.

Jadi, bagaimana Anda menonaktifkan plugin yang rentan ini di Google Chrome? Saya tidak dapat menemukan UI.

Jeff Atwood
sumber
8
Bagaimana Anda mendeteksi drive-by ini dapat dieksekusi?
Leonel
5
Anda selalu dapat melihat apakah plug-in Anda perlu diperbarui di sini: mozilla.com/en-US/plugincheck
travis
3
@ paper Saya menggunakan microsoft.com/security_essentials
Jeff Atwood
1
Saya mendapat hal serupa dari PDF di hari yang lain ... dan yang terpenting, jika saya hanya ingat bahwa saya tidak bermaksud membukanya, saya bisa menghindarinya!
SamB
1
Bagaimana Anda tahu itu adalah kerentanan di Jawa dan bukan kerentanan di webkit?
BlueRaja - Danny Pflughoeft

Jawaban:

136

Khusus untuk Java, Chrome sekarang menonaktifkan Java secara default di semua halaman dan meminta Anda untuk mengizinkannya berjalan setiap kali situs membutuhkannya.

Untuk kekhawatiran plugin yang lebih umum, Chrome memungkinkan Anda untuk memblokir semua plugin di semua situs sepenuhnya, dan kemudian memungkinkan Anda untuk mengaktifkannya secara selektif di halaman tanpa memuat ulang. Anda juga dapat mengonfigurasi pengecualian untuk URL tertentu.

Untuk mengaktifkan ini, di bawah bagian Plug-in dari url pengaturan: chrome://settings/contentpilih "Blokir Semua".

Dengan opsi ini diaktifkan, ketika Anda ingin menjalankan plugin pada halaman, Anda memiliki 3 opsi:

  • Klik kanan pada plugin dan pilih "Run this plug-in" dari menu konteks
  • Klik ikon plugin di bilah URL dan pilih "Jalankan semua plug-in kali ini
  • Tambahkan pengecualian untuk situs yang Anda percaya sehingga mereka dapat menjalankan plugin tanpa izin eksplisit Anda setiap kali

Chrome juga memiliki pengaturan "Klik untuk memainkan" yang tersembunyi di balik bendera di beberapa versi Chrome. Seperti disebutkan oleh seorang komentator, opsi ini rentan terhadap serangan clickjacking jadi saya akan menyarankan agar tidak menggunakannya. Anda lebih baik dengan fitur "Blokir semua".

Dan Herbert
sumber
73

Saya menemukan permintaan bug / fitur yang sangat tua di Google Chrome di sini .
Itu muncul di Chrome 6.0 atau yang lebih baru. Kunjungi chrome://plugins/atau about:pluginsnonaktifkan Java di sana.

teks alternatif

Setelah saya melakukan ini, untuk memastikan Java dinonaktifkan, saya mengunjungi halaman demo plugin Java . Dan memang itu dinonaktifkan:

teks alternatif

Tetapi rekomendasi umum saya adalah menghapus instalasi Java - Anda benar - benar tidak ingin Java pada sistem Anda kecuali Anda benar-benar harus memilikinya .. karena ada begitu banyak eksploitasi baru untuknya.

Saya juga merekomendasikan untuk menonaktifkan plugin yang tidak Anda perlukan. Setiap plugin yang diaktifkan adalah permukaan serangan, dan satu hal lagi yang perlu selalu diperbarui.

Jeff Atwood
sumber
17
Saya akhirnya menonaktifkan seperti 15 plugin yang saya tidak tahu saya punya ...
juan
Tidak bisakah Anda masuk dan menghapus plugin "netscape" (dan IE, saya kira) DLL, daripada menghapus instalan semuanya?
SamB
1
Oracle, dalam kebijaksanaan mereka, telah merusak tautan sun.com itu. Saya googled "java applet demo" dan mencoba tautan non-matahari pertama. Ya, sepertinya Chrome modern menonaktifkan Java secara default.
Jason
Mulai dari halaman plugin 57 Chrome tidak lagi dapat diakses.
anton_rh
31

Salah satu trik kecil yang saya gunakan dengan Java adalah untuk berkeliling dan menginstal versi x64 saja, yang hanya saya gunakan ketika saya menjalankan IE x64 untuk menggunakan aplikasi Java hanya sekali saja seperti yang Anda referensi.

CoreyH
sumber
7
oh man itu tip yang luar biasa; Saya menggunakan IE 64 bit dengan cara yang sama ketika saya ingin menguji di "browser saya tidak pernah menggunakan tetapi masih berfungsi"
Jeff Atwood
10

Untuk hanya menonaktifkan plugin Java seseorang dapat menggunakan -disable-javasakelar startup. Contoh:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Menavigasi ke http://java.com/en/download/help/testvm.xml setelah restart browser memberikan pesan yang bagus

Tidak ada Java yang berfungsi terdeteksi di sistem Anda. Instal Java dengan mengklik tombol di bawah ini.

Seseorang dapat membaca tentang sakelar lain di Panduan Pengguna Daya untuk Google Chrome . Ada informasi bermanfaat lainnya juga.

Bobrovsky
sumber
10

Meskipun mungkin perbaikan yang mudah, cukup memblokir Java, jika Anda mendukung pendekatan yang lebih holistik, Anda mungkin lebih suka menggunakan kombinasi dari:

  • Secunia PSI / VIM untuk pemberitahuan pembaruan, kerentanan dan pembaruan otomatis
  • Microsoft EMET untuk mencegah stack overflow dan sejenisnya
  • BufferZone untuk perlindungan dari drive oleh penginstal
  • Akun Virtual iCore untuk saat-saat ketika Anda harus berjalan di sisi gelap jaring pada mesin produksi (agak tidak nyaman untuk login / logout dan menggunakan semi-virtualisasi sehingga ada beberapa overhead - tetapi ketika Anda hanya memiliki satu mesin yang dapat Anda gunakan ...)

Ini seharusnya melindungi Anda dari lebih dari sekadar kerentanan Java.

Untuk mengukur efektivitas pendekatan ini (EMET saja tampaknya menghentikan 90% dari mereka), Anda mungkin ingin menggunakan Perangkat Rekayasa Sosial .

Metalshark
sumber
0

Alih-alih menonaktifkan plugin di Chrome, kemungkinan lain adalah mengonfigurasi Java untuk menonaktifkannya untuk semua browser.

Untuk melakukannya:

  1. Buka Java Control Panel ( C:\Program Files\Java\jre7\bin\javacpl.exe)
  2. Buka tab Keamanan
  3. Hapus centang "Aktifkan konten Java di browser"
  4. Java memberi tahu Anda bahwa itu akan berlaku setelah memulai ulang browser
Oriol
sumber