Con el fin de proteger a todos los usuarios de Beast, el exploit descubierto por dos investigadores capaz de romper el cifrado de SSL/TLS que garantiza la fiabilidad y privacidad de los datos en los navegadores, Firefox estaría a punto de tomar una medida trágica que afectaría a la web. Los desarrolladores plantean una actualización que elimine el trabajo del navegador con Java de Oracle. La medida significaría que Firefox no podría trabajar en cientos de webs y herramientas fundamentales para otras tantas empresas que trabajan a diario.

Así de mal deben estar viendo la situación en Mozilla para llegar a plantearse tal situación y es que desde la compañía ven en estos momentos que el bloqueo y eliminación sería la única forma de frustrar un posible ataque que descifre el tráfico protegido por SSL.

Para aquellos que aún no hayan oído hablar de Beast les explico. La historia comenzó el pasado fin de semana en la conferencia de seguridad Ekoparty, momento en el que dos investigadores, Thai Duong y Julian Rizzo, aseguraron haber conseguido romper el cifrado SSL/TLS que se utiliza para garantizar la seguridad de los datos que se intercambian entre el servidor y el navegador, es decir, los que garantizan la privacidad.

Bajo el nombre de Beast (Browser Exploit Against SSL/TLS) se escondía un código javascript que funcionaba como sniffer y descifraba las cookies con credenciales de los usuarios para acceder a las cuentas y por lo tanto atacaba a la confidencialidad del protocolo. La demostración en la conferencia, consiguiendo recuperar una cookie de autenticación utilizada para acceder a una cuenta cifrada de un usuario en PayPal, alertó a todos los proveedores de navegadores, quienes desde entonces trabajan a contrarreloj para añadir parches.

El principal problema que se están encontrando es que muchos de los parches que se presentan son incompatibles con aplicaciones SSL actuales, por lo que llegamos al día de hoy y al anuncio de Mozilla de tomar esta medida drástica. Ayer miércoles fue Jonathan Nightingale de Firefox el que lo explicaba para The Registrer:

Chrome se actualizó la semana pasada nada más saber del exploit con un parche que ha mostrado varias incompatibilidades en algunos sitios web. Por su parte Microsoft se encuentra trabajando en un parche que palie el posible ataque.

Sea como fuere, si Firefox decide finalmente dejar de trabajar con Java causaría una gran variedad de problemas en la web bastante graves. Primero para los usuarios, y en segundo lugar para todo el entramado de trabajo de las empresas y compañías que funcionan con Java en el navegador. La palabras a última hora de Nightingale no dejan lugar a dudas sobre el drástico planteamiento:



Visto en http://alt1040.com/2011/09/firefox-plantea-eliminar-java-para-proteger-a-los-usuarios-del-exploit-beast
Relacionado: http://foro.elhacker.net/noticias/beast_descarga_la_herramienta_para_crackear_el_trafico_ssltls_de_forma_rapida-t340013.0.html

No me imagino ningun navegador sin JAVA. ¿Qué haces?

De hecho probad a desinstalar JAVA(o desactivadlo del navegador) y ya vereis como las pasais por internet.

Totalmente de acuerdo. Desde que uso NoScript no he tenido problemas y mi equipo ha estado siempre seguro. Ya es hora que los internautas empiecen a decidir que desean ver y qué no!

Mozilla no puede obligar a todos a usar no-script, no todos saben de informática y si le instalo ese complemento a mi abuelita entonces no va a poder ver ni si quiera su correo.

Es buena alternativa pero no una opción global.
El problema que yo veo es que el explorador es el que no debería dar tanto acceso a un objeto ya sea activex o applet a menos que se configure manualmente desde las opciones al igual que los hta de iexplorer.

Mozilla no puede depender del sistema de seguridad de adobe u oracle, ya que al dejar abierta la puerta del  <object> o <embaled> están dando paso a que cualquiera pueda manipular tus datos a gusto.

El problema no es que java tenga un bug sino que firefox no puede permitir que un objeto tenga tanto acceso al mismo explorador o todos estaremos a merced de adobe y oracle.

Yo optaría por deshabilitar el tag object y embaled globalmente para todos y activarlo unicamente bajo configuración manual, si alguien quiere dejar la seguridad de su pc en manos de oracle ya es decisión de cáda uno.

Por mi feliz que desactiven java porque nunca lo he usado salvo una o dos veces para hacer pruebas y bajo ningún explorador.
Las aplicaciones java son exageradamente pesadas para tareas tan basicas que las puedes encontrar en otra parte en otros lenguajes.
Por ejemplo chats hay mcuhos en flash buenos como xat.com, clientes ftp usas mozilla filezilla, y para control interno de ejecución de cosas puedes darle permisos especiales a javascript para que utilize wscript.shell y ya o en linux algún otro puente.

¿Quien dijo que java era impresindible?

Si yo tengo una empresa donde todos usan flash no quiere decir que sea impresindible para todos.

gente Java y javascript son dos cosas totalmente diferentes =), de echo no se ven muchos Java applets