159 votes

Jeff Atwood avatar

Désactiver le plugin Java dans Google Chrome ?

Demandé el 20 de Octobre, 2010
Quand la question a-t-elle été
111962 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

C'est le deuxième Il m'est arrivé d'installer un exécutable de type "drive-by" sur ma machine en utilisant la méthode suivante :

  • Google Chrome 6 (dernière version)
  • Windows 7, UAC activé

Cela s'est produit alors que je cherchais des images à ajouter à un article de gaming.se ; l'un des sites que j'ai visités (pour obtenir l'image d'un câble de transfert) devait avoir un code d'exploitation de navigateur drive-by en cours d'exécution.

L'UAC m'a averti qu'un exécutable temporaire bizarre voulait s'exécuter, et j'ai refusé, mais j'ai 今なお J'ai le faux antivirus exécuté sur ma machine. Sigh

J'ai installé Java parce que je télécharge des trucs tous les mois sur clearbits.net et leur uploader est un plugin Java. Donc mon avis est que les sites web font les installations sauvages en utilisant le un nombre massif de vulnérabilités de type "zero-day" dans les plugins de navigateur Java .

Pour l'instant, j'ai désinstallé Java, ce qui fonctionne. Mais je me demandais si je pouvais désactiver le plugin Java dans Google Chrome à la place.

Alors, comment désactiver ces plugins vulnérables dans Google Chrome ? Je ne trouve pas l'interface utilisateur.

Demandé el 20 de Octobre, 2010 par Jeff Atwood

Réponses

Trop de publicités?

135voto

tags2k avatar
tags2k Points 11036

Pour Java en particulier, Chrome désactive désormais Java par défaut sur toutes les pages et vous invite à l'autoriser à s'exécuter chaque fois qu'un site en a besoin.

Pour les problèmes plus généraux liés aux plugins, Chrome vous permet de bloquer complètement tous les plugins sur tous les sites, et vous permet ensuite de les activer de manière sélective sur une page sans la recharger. Vous pouvez également configurer des exceptions pour des URL particulières.

Pour l'activer, sous la section Plug-ins de l'url des paramètres : chrome://settings/content sélectionnez "Bloquer tout".

Avec cette option activée, lorsque vous voulez exécuter des plugins sur une page, vous avez 3 options :

  • Faites un clic droit sur le plugin et choisissez "Exécuter ce plugin" dans le menu contextuel.
  • Cliquez sur l'icône du plug-in dans la barre d'URL et choisissez "Exécuter tous les plug-ins cette fois".
  • Ajoutez une exception pour les sites auxquels vous faites confiance afin qu'ils puissent exécuter les plugins sans votre autorisation explicite à chaque fois.

Chrome dispose également d'un paramètre "Cliquer pour jouer" qui est caché derrière un drapeau dans certaines versions de Chrome. Comme l'a mentionné un commentateur, cette option est vulnérable aux attaques de type "clickjacking" ; je vous déconseille donc de l'utiliser. Il est préférable d'utiliser la fonction "Bloquer tout".

Répondu el 20 de Octobre, 2010 par tags2k (11036 Points )

74voto

Jeff Atwood avatar
Jeff Atwood Points 31111

J'ai trouvé un très vieux bug / demande de fonctionnalité sur Google Chrome aquí .
Il apparaît dans Chrome 6.0 ou plus. Visitez chrome://plugins/ o about:plugins et désactivez Java à cet endroit.

alt text

Une fois que j'ai fait ça, pour veillez à Java était désactivé, j'ai visité un Page de démonstration du plugin Java . Et en effet, il a été désactivé :

alt text

Mais ma recommandation générale est de désinstaller Java -- vous realmente ne voulez pas de Java sur votre système à moins que vous n'ayez absolument, positivement besoin de l'avoir parce qu'il y a tellement de nouveaux exploits pour lui.

Je vous recommande également de désactiver tous les plugins dont vous n'avez pas absolument besoin. Chaque plugin activé est une surface d'attaque, et une chose de plus qui doit être maintenue à jour

Répondu el 20 de Octobre, 2010 par Jeff Atwood (31111 Points )

32voto

calebt avatar
calebt Points 802

Une petite astuce que j'utilise avec Java est de chercher et d'installer la version x64 uniquement, que j'utilise uniquement lorsque je lance IE x64 pour utiliser les applications uniques Java uniquement comme celle que vous mentionnez.

Répondu el 20 de Octobre, 2010 par calebt (802 Points )

10voto

Balacertar avatar
Balacertar Points 1434

Bien qu'il puisse s'agir d'une solution facile, consistant à bloquer suffisamment Java, si vous êtes en faveur d'une approche plus globale, vous préférerez peut-être utiliser une combinaison de moyens :

  • Secunia PSI / VIM pour la notification des mises à jour, des vulnérabilités et des mises à jour automatiques
  • Microsoft EMET pour éviter les débordements de pile et autres
  • BufferZone pour la protection contre l'entraînement par les installateurs
  • Comptes virtuels iCore pour les moments où vous avez besoin de vous promener du côté obscur du net sur une machine de production (c'est un peu gênant pour se connecter/déconnecter et utilise la semi-virtualisation donc il y a une certaine surcharge - mais quand vous n'avez qu'une seule machine à votre disposition...)

Cela devrait vous protéger contre d'autres vulnérabilités que celles de Java.

Pour mesurer l'efficacité de ces approches (EMET à lui seul semble arrêter 90% d'entre elles), vous pouvez utiliser la méthode suivante Boîte à outils d'ingénierie sociale .

Répondu el 9 de Novembre, 2010 par Balacertar (1434 Points )

10voto

Bobrovsky avatar
Bobrovsky Points 417

Pour ne désactiver que les plugins Java, on peut utiliser l'option -disable-java interrupteur de démarrage. Exemple :

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Naviguer vers http://java.com/en/download/help/testvm.xml après un redémarrage du navigateur donne le beau message

Aucun Java fonctionnel n'a été détecté sur votre système. Installez Java en cliquant sur le bouton ci-dessous.

On peut lire d'autres interrupteurs dans Guide de l'utilisateur de Google Chrome . Vous y trouverez également d'autres informations utiles.

Répondu el 19 de Février, 2011 par Bobrovsky (417 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X