Java-Plugin in Google Chrome deaktivieren?

Dies ist das zweite Mal, dass ich eine ausführbare Drive-By-Datei auf meinem Computer installiert habe.

• Google Chrome 6 (aktuell)
• Windows 7, UAC ein

Dies geschah, während ich nach Bildern suchte, die ich einem gaming.se-Beitrag hinzufügen konnte. Auf einer der von mir besuchten Websites (um ein Abbild eines Übertragungskabels zu erhalten) muss ein Drive-By-Browser-Exploit-Code ausgeführt worden sein.

UAC warnte mich, dass eine seltsame temporäre ausführbare Datei ausgeführt werden wollte, und ich lehnte ab, aber ich habe immer noch die gefälschte ausführbare Antiviren-Datei auf meinem Computer ausgeführt. Seufzer..

Ich habe Java installiert, weil ich monatlich Dinge auf clearbits.net hochlade und deren Uploader ein Java-Plugin ist. Ich gehe davon aus, dass Websites Drive-by-Installationen durchführen, bei denen die massiven Zero-Day-Sicherheitslücken in den Java-Browser-Plugins ausgenutzt werden .

Im Moment habe ich Java deinstalliert, was funktioniert. Aber ich fragte mich, ob ich stattdessen das Java-Plugin in Google Chrome deaktivieren könnte .

Wie können Sie diese anfälligen Plug-ins in Google Chrome deaktivieren? Ich kann die Benutzeroberfläche nicht finden.

Speziell für Java deaktiviert Chrome Java jetzt standardmäßig auf allen Seiten und fordert Sie auf, die Ausführung jedes Mal zuzulassen, wenn eine Site dies benötigt.

Bei allgemeineren Problemen mit Plug-ins können Sie in Chrome alle Plug-ins auf allen Websites vollständig blockieren und sie dann selektiv auf einer Seite aktivieren, ohne sie erneut zu laden. Sie können auch Ausnahmen für bestimmte URLs konfigurieren.

Um dies zu aktivieren, chrome://settings/contentwählen Sie im Abschnitt Plug-Ins der Einstellungs-URL "Alle blockieren ".

Wenn Sie diese Option aktivieren, haben Sie drei Möglichkeiten, um Plugins auf einer Seite auszuführen:

• Klicken Sie mit der rechten Maustaste auf das Plugin und wählen Sie "Dieses Plugin ausführen" aus dem Kontextmenü
• Klicken Sie auf das Plugin-Symbol in der URL-Leiste und wählen Sie "Dieses Mal alle Plugins ausführen"
• Fügen Sie eine Ausnahme für Sites hinzu, denen Sie vertrauen, damit sie jedes Mal Plugins ohne Ihre ausdrückliche Erlaubnis ausführen können

Chrome hat auch eine "Click to Play" -Einstellung, die in einigen Chrome-Versionen hinter einer Flagge verborgen ist. Wie ein Kommentator sagte, ist diese Option anfällig für Clickjacking-Angriffe, daher würde ich davon abraten, sie zu verwenden. Mit der Funktion "Alle blockieren" sind Sie besser dran.

Ich habe hier einen sehr alten Bug / Feature Request in Google Chrome gefunden .
Es wird in Chrome 6.0 oder höher angezeigt. Besuchen Sie chrome://plugins/oder about:pluginsund deaktivieren Sie Java dort.

Nachdem ich dies getan hatte, besuchte ich eine Java-Plugin-Demoseite , um sicherzustellen, dass Java deaktiviert war . Und in der Tat war es deaktiviert:

Aber meine generelle Empfehlung ist, Java zu deinstallieren - Sie wollen Java wirklich nicht auf Ihrem System haben, es sei denn, Sie müssen es unbedingt haben. Weil es so viele neue Exploits dafür gibt.

Ich würde auch empfehlen, Plugins zu deaktivieren, die Sie nicht unbedingt benötigen. Jedes aktivierte Plugin ist eine Angriffsfläche und eine weitere Sache, die auf dem neuesten Stand gehalten werden muss.

Ein kleiner Trick, den ich mit Java verwende, ist, nur die x64-Version zu finden und zu installieren, die ich nur verwende, wenn ich den IE x64 starte, um die einmaligen Java-only-Apps wie die zu verwenden, auf die Sie verweisen.

Um nur Java-Plugins zu deaktivieren, kann der -disable-javaStartschalter verwendet werden. Beispiel:

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

Wenn Sie nach einem Neustart des Browsers zu http://java.com/en/download/help/testvm.xml navigieren, wird eine nette Nachricht angezeigt

Auf Ihrem System wurde kein funktionierendes Java erkannt. Installieren Sie Java, indem Sie auf die Schaltfläche unten klicken.

Informationen zu anderen Schaltern finden Sie im Power-Benutzerhandbuch zu Google Chrome . Es gibt auch andere nützliche Informationen.

Obwohl es eine einfache Lösung sein mag, Java nur ausreichend zu blockieren, können Sie, wenn Sie sich für einen ganzheitlicheren Ansatz entscheiden, eine Kombination aus Folgendem bevorzugen:

• Secunia PSI / VIM zur Benachrichtigung über Updates, Schwachstellen und automatische Updates
• Microsoft EMET zum Verhindern von Stapelüberläufen und Ähnlichem
• BufferZone zum Schutz vor Laufwerken durch Installateure
• iCore Virtual Accounts für Zeiten, in denen Sie auf einem Produktionscomputer die Schattenseiten des Netzes durchschauen müssen (es ist etwas umständlich, sich anzumelden / abzumelden, und verwendet Semivirtualisierung, sodass ein gewisser Overhead entsteht - aber wenn Sie nur einen Computer zur Verfügung haben ...)

Dies sollte Sie vor mehr als nur Java-Schwachstellen schützen.

Um die Wirksamkeit dieser Ansätze zu messen (EMET allein scheint 90% davon zu stoppen), können Sie das Social Engineering Toolkit verwenden .

Anstatt das Plugin in Chrome zu deaktivieren, können Sie Java auch so konfigurieren, dass es für alle Browser deaktiviert wird.

Das zu tun:

1. Öffnen Sie die Java-Systemsteuerung ( C:\Program Files\Java\jre7\bin\javacpl.exe)
2. Gehen Sie zur Registerkarte Sicherheit
3. Deaktivieren Sie "Java-Inhalte im Browser aktivieren"
4. Java teilt Ihnen mit, dass es nach dem Neustart des Browsers wirksam wird.