Como posso restringir o plug-in java para ser executado apenas em determinados sites no Internet Explorer?

Navegue suas respostas
10

Eu quero proteger melhor nossos computadores gerenciados centralmente e é muito difícil implantar automaticamente o Java Runtime, mas como fazer isso é outra pergunta.

Acho a segurança do Java catastrófica, mesmo que esteja totalmente corrigida: parece que o usuário diz que sim à pergunta inocente "Você confia neste certificado", o java pode fazer o que quiser. O webstart Java também parece ser um ponto de entrada universal para os autores de malware.

Em geral, eu não ligo para os meus usuários jogando jogos de navegador, etc. Os applets Java parecem estar extintos de qualquer forma.

Mas há apenas uma página (sistema de compras da Ingramm Micro) que depende do Java.

Alguém sabe uma maneira fácil de configurar o IE ou o java através da política de grupo para permitir apenas plugins java em determinados sites pré-configurados?

Obrigado!

    
por Christian 15.02.2012 / 10:32

1 resposta

12

Excelente pergunta. Ironicamente, essa mesma funcionalidade foi exposta na antiga JVM da Microsoft (há 10 anos).

Controlando o Java no Internet Explorer
link

Recentemente, houve algum interesse em como controlar o uso do Java no Internet Explorer. Java é uma forma exclusiva de extensibilidade porque pode ser chamada de duas maneiras:

Esses dois métodos de invocação estão sujeitos a diferentes controles de segurança, que descreverei na postagem de hoje.

Controle de tags de applet

Quando o Internet Explorer encontra uma tag APPLET, ele verifica o valor de URLACTION_JAVA_PERMISSIONS para determinar se o APPLET deve ser carregado. Se o valor for URL_POLICY_JAVA_PROHIBIT, a tag APPLET será impedida de carregar a JVM. Nas versões anteriores do Internet Explorer, quando uma JVM da Microsoft estava disponível, essa URLAction foi exposta na guia Ferramentas > Opções da Internet > Segurança > Diálogo personalizado…, mas foi removido desde então.

Você pode usar o Editor de Diretiva de Grupo para controlar a URLAction sob o nó \ Modelos Administrativos \ Componentes do Windows \ Internet Explorer \ Painel de Controle da Internet \ Página Segurança \ ZoneID:

Alternativamente,vocêpodefazerumpequenoregistroajustarpara adicionar a entrada Opções da JVM de volta ao Painel de Controle da Internet :

OscriptderegistroaproveitaofatodequeainterfacedoPaineldeControledaInternetéextensívelpormeiodoregistro;ElesimplesmentecriaumnovoitemqueajustaosvaloresdaURLACTION_JAVA_PERMISSIONSURLAction.

SevocêajustarasconfiguraçõesdaZonadaInternetde"Alta segurança" para Desativar (URL_POLICY_JAVA_PROHIBIT), qualquer site que tente usar uma tag APPLET descobrirá que o applet não carrega e uma notificação é mostrada:

Controlandotagsdeobjeto

Infelizmente,quandoumsiteusaumatagOBJECTparacarregarJava,umcaminhodecódigototalmentediferenteéexecutado.NocasodatagOBJECT,aURLAçãoJAVA_PERMISSIONSnãoéconsultada,porque,noquedizrespeitoaoInternetExplorer,issopodeserqualquertipodeOBJECT.Emvezdisso,os recursos tradicionais de controle ActiveX são consultados (por exemplo, Filtragem ActiveX, Por Site ActiveX, Gerenciar Complementos, etc). Você pode usar as ferramentas do IE > Gerenciar o recurso Complementos para examinar ou ajustar o estado do objeto Java Plug-in:

Observação:soubequeoobjetoauxiliardonavegadorauxiliarSSVdoplug-inJavanãodeveserdesativado,poisgarantequeossitesnãotentemcarregarversõesmaisantigas(inseguras)daJVMquevocêinstalou.Noentanto,vocêperceberáquepagaumapenalidadededesempenhonainicializaçãodaguiaparacarregaresseBHO-essaéumadasmuitasrazõespelasquaiseunãoinstalooJavaemmeusPCs.

SevocêselecionaroJavaPlug-in,poderáclicarnobotãoDesativarparaimpedirqueoJavasejacarregadoporumamarcaOBJECT.Comoalternativa,sevocêclicarnolinkMaisinformações,poderálimparo*dalistadesitesnosquaisoJavaPlug-inpodeserexecutado:

Se você visitar um site que tenta invocar o Java como uma tag OBJECT, você verá uma barra de notificação solicitando permissão para executar o Java no site atual.

Portanto, se você quiser permitir que o Java seja executado somente nas zonas Intranet e Sites confiáveis:

  1. Ajustar a URLAction para a zona da Internet para desativar
  2. Remova o * da lista Por Site do Controle ActiveX

A etapa 1 garantirá que apenas os sites da zona da intranet e da zona confiável possam carregar Java para tags APPLET. A etapa 2 garantirá que o plug-in Java não seja carregado como um OBJECT nos sites da zona da Internet; uma notificação será mostrada. Como a intranet e os sites confiáveis ignoram a lista de ActiveX por site, você não verá nenhum aviso adicional nesses sites.

    
por 15.02.2012 / 12:16

Tags

Os pools do ZFS ou grupos de volumes LVM são mais confiáveis para utilizar muitas partições? Como determino o ARN da minha zona hospedada pelo route53 da Amazon?