Videók, játékok, internetbank. Pár terület ahol nem kizárt, hogy bővítmény használatára lehet szükség. A bővítmények már régóta jelen vannak a böngészőkben, ahogy az általuk segített szolgáltatások a mindennapjainkban.
Mi a hézag, szoftver?
A bővítmények olyan bináris kiegészítők, amelyek a böngésző speciális interfészén keresztül épülnek bele a programba, s így kínálnak speciális funkciókat a felhasználók számára. De amilyen hasznosak a hétköznapokban, majd annyi veszélyt is rejtenek. Az utóbbi időben megszaporodtak azok a támadások, napvilágra került biztonsági problémák amelyek – a gyártók hanyagsága miatt – veszélyeztetik a magánszféránkat, személyes adatainkat, számítógépünket. A felhasználók szemszögéből nézve a bővítmények letiltása talán túl nagy érvágás, kellemetlenség lenne, noha a biztonság nevében ez sem túl drasztikus eljárás.
Bár a legutóbbi Java-sebezhetőséget már javították a napokban megjelent Java 7 Update 11 verzióval (kedves Olvasó, kérem frissítsen most, azonnal!), de talán érdemes megemlékezni a lehetséges megelőzési módokról.
Szerencsére a Mozilla is példás gyorsasággal reagált a problémára, és a Java 7 Update 10-es verzióját is tiltólistára tette a böngészőben. Ez a tiltás azzal jár, hogy a Java 7 Update 9, 7 Update 10, 6 Update 37, 6 Update 38 verziójú bővítményt a böngésző egészen addig nem tölti be az azt igénylő oldalon, amíg a felhasználó rá nem kattint a bővítmény helyén megjelenő mezőre. Ez a „Click to Play” speciális változata, amely csak az elavult bővítmények beletörődését teszi a felhasználó kattintásának függvényévé.
Védd magad!
Az első és legfontosabb, hogy: tartsd szárazon a puskaport és frissen a bővítményeket. A Firefox és SeaMonkey felhasználói a bővítmény-ellenőrző oldalon tehetik (és tegyék is) meg. A listában megtekinthető az összes telepített bővítmény névvel, verziószámmal és az esetleges frissítési lehetőséggel. Ha van új verzió, ne legyünk restek frissíteni!
A mostani biztonsági probléma is ismert volt már egy ideje, de a szoftvercégek lustasága növeli az aktív kihasználás, felfedezés és a javítás közötti időintervallumot. Ezért érdemes megszüntetni, csökkenteni a lehetséges támadási felületet.
A legbiztosabb megoldás a bővítmények teljes letiltása. A telepített bővítményekről a böngészőprogram is ad egy listát. Ezt a listát az Eszközök menüből a Kiegészítők menüpontra, majd a Bővítmények fülre kattintva érhetjük el. Itt le is tilthatjuk a bővítményeket. Ha ez nem járható út érdemes kifinomultabb megoldást használni.
A Click To Play megakadályozza az adott oldalon a bővítmények elindulását (például: Flash, Java). Egy korábbi bejegyzésemben (Click To Play funkció engedélyezése a Firefoxban) erről részletesen lehet olvasni.
Lehetőség van Click To Play funkcionalitás domén szerinti szabályozására is – a Firefox és a SeaMonkey is kínál erre egy nagyon kényelmes beállító-felületet.
A firefoxos „Engedélyek kezelése” lap eléréséhez írjuk be a címsorba a következő kifejezést: „about:permissions”, majd nyomjuk le az Enter billentyűt.
A SeaMonkey felhasználóinak még egyszerűbb dolga van: az „Eszközök” menüből válasszuk ki az „Adatkezelő” almenüt. A „Minden webhely” opciót választva válasszuk ki a Plugin választómezőben a „Rákérdezés mindig” lehetőséget. Ezzel aktiváljuk a teljes körű Click To Play működést. A keresőt használva megadhatunk oldalakat, ahol ezt tiltást fel tudjuk oldani minden egyes doménre külön-külön.
Bővítményenként egyesével meghatározhatjuk a használandó tartományokat is. Ezt a Netscape Plugin Security Wrapperben kell megtenni, a beállítást az NSS weboldalán ismertetett módon végezhetjük el.
