由于安全性问题,Mozilla Firefox 26 现在默认屏蔽了所有 Java 插件,但如果用户想运行这些插件,它也允许他们那么做。
早在 2011 年,Mozilla 就曾因为安全性问题考虑将Java 加入其浏览器的黑名单中,但那时并未做出决定。今年一整年,Mozilla 一直在开发和测试“点击运行(Click-to-Play)”功能,该功能允许用户选择他们想要启用的插件。但是,这一过程并不顺畅,而且已经影响了基于Java 的网站和用户。
在九月份,Mozilla 决定将Java 的所有版本都标记为不安全,并在Firefox 24 中实现了这一功能。但是,许多用户都不清楚,他们那些不能正常运行的应用程序和网站发生了什么,他们并不知道有个允许他们启用Java 的CtP 功能。当时,一部分插件不见了,而CtP 又没有处理它们,在有些情况下, CtP 用户界面甚至都不见了。许多银行用户似乎都受到了影响,至少在有些国家是这样:
Knud Berggreen :Java Plugin 7 update 45 不应该被屏蔽!它影响了所有丹麦人,因为全国的登录都受阻了。
etoxsg :在挪威,只有几个在线银行允许用户在没有安装 Java 插件的情况下使用他们的服务。我认为,在挪威、瑞典和丹麦,所有家庭的 90% 仅仅因为银行业务就需要 Java 插件。因此,当你们突然决定屏蔽所有的 Java 插件而又没有事先通知的时候,我不得不做 8 次上门服务,并在外面接听了来自朋友、邻居和家庭的 15 个电话。
下面是来自社区的另外两个反应:
Tomasz :很遗憾听到了明确的消息,但是,作为用户,我想问:在 FF 上屏蔽 Java 这样一个极端不负责任的决定是谁做出的?!
因为这个决定,我无法登录在线交易账户。我的银行所使用的应用程序只是在一个消息框中显示‘需要 Java 版本 >1.5’,而没有任何安全问题的蛛丝马迹。它只是不能正常运行。
ipatrol :你们所有人都突然疯了吗?Java 是支撑动态内容的三大核心技术之一!你们开始抡起大锤去砸碎几个 Bug,而你们所有人谈到这件事时都心平气和,难道这是一些小的用户界面调整?
Java SE 工程部经理 Roger 发表了对这一个问题的看法:
在 java.com 上,我们看到有相当数量的人报告了 FF 指出 Java7u45 易受攻击这件事。许多人都说,他们的解决方案是使用 IE。针对相关术语的搜索量暴涨。不知道这是不是 FF 团队当初这样做时所预期的终端用户解决方案。有关该消息以及如何允许 Java 运行的困扰似乎是个易用性问题。关于这项新的屏蔽设置如何影响 FF 用户的行为,有任何统计信息吗?
那时,Mozilla 决定将屏蔽设置恢复原状,但那只是 CtP 功能修复之前的临时措施。在十月底,Mozilla 发布了 Firefox 的一个测试版本,该版本再次以安全性问题为由屏蔽了除Flash 之外的所有插件。
最终,在今年年底,Firefox 26 现在默认屏蔽了所有网站上的所有Java 插件。当人们需要的时候,CtP 用户界面是否足以让人们知道如何启用Java 还有待观察。
在Windows 和Flash 承担用户计算机上安全漏洞的责任多年以后,现在轮到Java 来感受一些压力了。过去,Oracle 似乎没有很关注这个问题,但考虑到它在十月份的重要补丁更新程序下发布的127 项安全修复更新,其态度已经发生了变化。重要补丁更新程序至少每个季度都应该提供安全更新。
查看英文原文:**** Firefox 26 Blocks Java
评论