Software::Entwicklung
Mozilla diskutiert die Abschaltung von Java
Als Reaktion auf die kürzlich vorgestellte Schwachstelle im SSL/TLS-Protokoll diskutiert die Mozilla-Gemeinschaft nun eine vollständige Abschaltung von Java. Denn das Java-PlugIn macht das Ausnutzen des von Juliano Rizzo und Thai Duong vorgestellten »Exploit Against SSL/TLS« (BEAST) erst möglich.
Mozilla Foundation
Mitte der vergangenen Woche vermeldeten Juliano Rizzo und Thai Duong, beide Experten für Computersicherheit und Kryptografie, ein
neues Sicherheitsproblem im SSL/TLS-Protokoll, das Angreifern ermöglicht, Cookies aus SSL-verschlüsselten Datenströmen zu lesen, die Nutzern unter anderem Zugang zu geschützten Bereichen einer Webseite erlauben. Die bereits seit geraumer Zeit
bekannte Lücke ist eigentlich nicht neu, doch gepaart mit anderen Lücken ist das Problem verheerend. Denn für den Angriff ist es unter anderem notwendig, die
Same Origin Policy (SOP) des Browsers zu überlisten. Hier setzen die Entdecker der Lücke auf einen bislang noch nicht bekannten Fehler in Java, der noch nicht korrigiert wurde.
Nun debattiert die Gemeinschaft rund um Mozilla eine komplette Abschaltung von Java. Zwar würde dies bei manchen Anwendern zu Problemen führen, doch würde es das Problem wenigstens temporär lösen. Alternativ könnte der Browser Java auch abschalten und bei Notwendigkeit mit Zustimmung des Anwenders wieder einschalten. Dies würde laut Aussage von Johnathan Nightingale vor allem Anwendern zugute kommen, die auf Java angewiesen sind und Applets nur aus vertraulichen Quellen starten. Das Problem lässt sich darüber hinaus mit einer Umstellung auf den seit 2006 verabschiedeten Standard TLS 1.1 lösen. Allerdings ist die Umstellung nicht so einfach durchzuführen, weil nicht alle Server und Browser den Standard unterstützen. Insgeheim hoffen die Entwickler deshalb, dass Oracle das Problem löst und eine neue Java-Version herausbringt. Eine Stellungnahme seitens das Unternehmen gibt es allerdings noch nicht.
Einen anderen weg geht Google bei Chrome, der Java standardmäßig nicht aktiviert, und liefert einen Workaround in NSS. Damit folgt es einem ähnlichen Weg wie eine bereits 2004 von den OpenSSL-Entwicklern vorgeschlagene Lösung, indem Pakete aufgeteilt und jedem Paket ein leeres vorangestellt wird. Da dies allerdings zu Problemen führt, wird sie von vielen Programmierern abgeschaltet. Laut Google führt die von Chrome und Mozilla ausgearbeitete Lösung kaum zu Komplikationen. Wann sie allerdings in einer stabilen Version erscheint, steht noch nicht fest. Das eigentliche Problem in Java bleibt aber auch hier bestehen, sofern Java eingeschaltet wird.
Microsofts Lösung sieht dagegen vor, dass nur noch TLS 1.1 eingesetzt wird. Neben den zu erwarteten Problemen ist allerdings noch nicht klar, ob dies wirklich zum Erfolg führen wird. Wie diverse Mozilla-Entwickler anmerken, benutzt Java einen eigenen Stack, der allerdings immer noch auf TLS 1.0 aufsetzt.
){kind=logo}
