15 Reaktionen

Firefox: Java gilt ab Version 24 grundsätzlich als unsicher, standardmäßiges Click-to-Play ab Version 26

Geschätzte Lesedauer:

Mozilla plant in den kommenden Wochen zwei grundlegende Änderungen in Bezug auf die Ausführung von Plugins. So soll das Java-Plugin bereits in Kürze grundsätzlich als unsicher eingestuft werden, auch in der jeweils aktuellsten Version. Click-to-Play für alle Plugins außer der aktuellsten Flash-Version soll ab Version 26 standardmäßig aktiviert werden.

Nach derzeitiger Planung soll das Java-Plugin ab Version 24 von Firefox grundsätzlich als unsicher eingestuft werden, auch in seiner jeweils aktuellsten Version. Dies ist die Konsequenz aus den zahlreichen Sicherheitslücken der Vergangenheit und der sehr langen Zeit, welche Oracle zum Beheben der Sicherheitslücken benötigt. Nutzer werden Java weiterhin für einzelne Seiten permanent erlauben können, Java wird dann aber nicht mehr global für alle Webseiten aktiviert werden können. Mozilla plant diese Änderung für Firefox 24, allerdings nicht direkt zur Veröffentlichung von Version 24.

Mit Firefox 26 kommt eine weitere Änderung. Dann werden wie bereits Anfang des Jahres berichtet alle Plugins standardmäßig auf Click-to-Play geschaltet, außer Adobe Flash in seiner zum jeweiligen Zeitpunkt aktuellsten Version. Durch Click-to-Play sind Plugins nicht permanent geladen, sondern können bei Bedarf durch den Benutzer aktiviert werden. Über den Add-on Manager können die Plugins aber auch wieder permanent aktiviert werden.

Update 21. November 2013: Mit Firefox 26 werden noch nicht alle Plugins standardmäßig auf Click-to-Play geschaltet werden.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und ehemaliger Mozilla Repräsentant. Neben diesem Mozilla-Blog ist er Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox und betreibt außerdem die Webseiten firefox.agenedia.com, firefoxosdevices.org, mozilla.de sowie das Fußball-Portal Soccer-Zone.

12 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. schrieb am :

    Aus meiner Sicht eine gute Entscheidung, das Java-Plugin so zu behandeln. Auch wenn Java-Programmierer es wahrscheinlich anderes sehen.

  2. Martin Weißhaupt
    schrieb am :

    Ich beziehe hier als Java-Entwickler mal Stellung…

    Java wurde und wird ja leider von vielen Leuten gehasst. An den Punkten Windows Installer und Web-Plugin zurecht. Beim Rest der Plattform IMHO zu unrecht.

    Das Browser Plugin gehört eigentlich schon seit vielen Jahren eingestampft. Jedem, der sich jemals damit befasst hat, sollte klar gewesen sein, dass es potentiell unsicher ist. Aus diesem Grund habe ich es auch seit Jahren deaktiviert.

    Die meisten Java-Anwendungen sind weder Browser Applets noch Desktopanwendungen, sondern Services, die auf Servern laufen. Beispielsweise die Google-Suche, Gmail, Data-Mining Dienste etc. Dazu kommen noch Android-Systeme, die eine spezielle Variante von Java verwenden.

    Leider wird Java in letzter Zeit nur mit den Sicherheitslücken des Browser-Plugins bzw. des Security Managers, der eigentlich nur vom Browser Plugin verwendet wird, und lahmen Desktopanwendungen in Verbindung gebracht. Java ist jedoch viel mehr, es ist einmal die Laufzeitumgebung „JVM“, die ihrer Konkurrenz wie zB. der Microsoft „CLR“ um Jahre vorraus ist und auch andere Sprachen als Java interpretieren kann (z.B. Python, Groovy, Scala etc.), sowie auch Java EE, das im Business-Bereich konkurrenzlos ist, als auch Android.

    Ich fasse es nochmal kurz zusammen:

    – Gute Entscheidung Click to Play fürs Java-Web-Plugin einzuführen

  3. Antares
    schrieb am :

    Naja, eine Verbreitung von mehreren Milliarden Devices hat halt seinen Preis und das ist es ja in erster Linie, was die Laufzeitumgebung für Cyberkriminelle so attraktiv macht. Damit ist Java aber nicht alleine, auch JavaScript oder Flash sind ja immer noch Kandidaten dafür.

    Die meisten Java-Anwendungen sind weder Browser Applets noch Desktopanwendungen, sondern Services, die auf Servern laufen. Beispielsweise die Google-Suche, Gmail, Data-Mining Dienste etc.

    Google nicht mehr. Soweit ich weiss, hat Google all seine Services mittlerweile auf JavaScript umgestellt und verwendet abgesehen von Android eigentlich so gut wie kein Java mehr. Oder habe ich dich jetzt in irgendeiner Form falsch verstanden?

    Ansonsten ist das ne gute Entscheidung. Bleibt aber immer noch Flash, die letzte Beulenpest in Binärform. Und das wird sich wohl erst erledigen, wenn Shumway marktreif ist.

  4. Martin Weißhaupt
    schrieb am :

    Google nicht mehr. Soweit ich weiss, hat Google all seine Services mittlerweile auf JavaScript umgestellt und verwendet abgesehen von Android eigentlich so gut wie kein Java mehr. Oder habe ich dich jetzt in irgendeiner Form falsch verstanden?

    Nicht ganz. Google verwendet das eigene Framework GWT, welches es ermöglicht, Code in Java zu schreiben, der dann Clientseitig in Javascript ausgeführt wird. Der Vorteil ist, dass man Arbeit auf den Clientrechner auslagern kann und damit die eigenen Server entlastet. Der Nachteil ist das ständige marshalling und unmarschalling von Daten und wenn man es mit der Auslagerung überreibt, kann man ältere Clients überlasten.

    Ich bevorzuge da das ZK-Framework, das berechnet alles am Server und verwendet den Client nur zum Rendern der Oberfläche. Das erzeugt zwar mehr Serverlast, ist jedoch beim Client sparsamer und man hält sich nicht mit dem Marschalling auf…

  5. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Damit ist Java aber nicht alleine, auch JavaScript oder Flash sind ja immer noch Kandidaten dafür.

    JavaScript würde ich vom Aspekt der Sicherheit aber keinesfalls in einem Atemzug mit Plugins nennen, Plugins sind sehr viel sicherheitskritischer. Nicht grundlos basiert Mozillas PDF-Betrachter auf JavaScript, um ein Plugin obsolet zu machen. Selbiges mit Shumway für Flash, ebenfalls JavaScript. Große Teile von Firefox selbst sind JavaScript, Add-ons ebenso. JavaScript ist relativ sicher. Gefahrenpotentiale wie XSS sind keine Schwachstellen von JavaScript, sondern basieren auf dem Fehler, Nutzereingaben seitens Webseite nicht überprüft zu haben. Das ist ist grundsätzlich gefährlich. 😉

  6. Guido
    schrieb am :

    Hallo Sören,

    auf meinen beiden Notebooks im Haus (einmal Win7Pro-64, einmal Win7Home-32) läuft Youtube nicht mehr seit Clean Install auf FF 24. Das Videofenster bleibt schwarz, außerdem ist bei jedem Aufruf der Website die Lautstärkte auf Mute gleichwohl sie vor einem FF-Neustart höher gestellt war. Englischsprachige User im Netz berichten wohl ähnliches. Hast Du eine Idee wie ich das fixen kann? Downgrade auf FF23 oder gibt es eine bessere Lösung?

    Beste Grüsse
    Guido

  7. Guido
    schrieb am :

    Youtube mit FF 24 läuft wieder. Ich denke, das Problem lag bei den Youtube-Jungs.

  8. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Hallo Guido,

    schön, dass es wieder geht und entschuldige bitte, dass ich nicht auf die Frage reagiert hatte. Du hast sicherlich gemerkt, dass es in dieser Zeit auch keine Artikel gab. Ich bin gerade erst dabei, alles aus den letzten drei Wochen aufzuarbeiten.

  9. schrieb am :

    Man muss differenzieren zwischen dem Java-Applets und den gängigen Java-Application-Servern, das fehlt in 99% aller Artikel über Java-Sicherheitslücken komplett, ebenso hier. Tatsächlich werden Java-Entwickler immer begehrter, unterschlägt man die Differnzierung straft die Tendenz diesen Artikel Lügen.

  10. schrieb am :

    @Grim, naja. Hier geht es ja um den Browser und die jsp haben ja nichts mit dem Browser zu tun. Das läuft ja alles auf dem Server ab und für den User und Browser macht es keinen Unterschied, ob die Seite über jsp, perl, php oder was auch immer ausgeliefert wird. Daher sehe ich auch keinen wichtigen Grund hier auf jsp einzugehen. Dann müsste man erst einmal erklären, was jsp überhaupt ist, was der Unterschied zu Applets ist usw. und das gehört für mich nicht in diesen Artikel.

  11. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Erstens das, zweitens habe ich in dem Artikel ja nun wirklich ganz explizit vom Java-Plugin gesprochen, also von wegen diese Unterscheidung fehlt hier. Ich denke, das ist in diesem Artikel ziemlich unmissverständlich…

  12. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Update 21. November 2013: Mit Firefox 26 werden noch nicht alle Plugins standardmäßig auf Click-to-Play geschaltet werden.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen