Google ChromeでJavaプラグインを無効にしますか？

次を使用して、マシンにドライブバイ実行可能ファイルをインストールしたのはこれが2回目です。

• Google Chrome 6（最新）
• Windows 7、UACオン

これは、gaming.seの投稿に追加する画像を参照しているときに起こりました。（転送ケーブルの画像を取得するために）私が訪れたサイトの1つでは、ドライブバイブラウザのエクスプロイトコードが実行されていたに違いありません。

UACは、奇妙な一時的な実行ファイルを実行したいことを私に警告し、私は減少しましたが、私はまだ私のマシン上で実行されている偽のウイルス対策の実行を得ました。はぁ..

clearbits.netに毎月アップロードし、それらのアップローダーはJavaプラグインであるため、Javaがインストールされています。したがって、私の推測では、WebサイトはJavaブラウザプラグインの膨大な数のゼロデイ脆弱性を使用してドライブバイインストールを実行しています。

今のところ、Javaをアンインストールしましたが、動作します。しかし、代わりにGoogle ChromeでJavaプラグインを無効にできるかどうか疑問に思いました。

では、Google Chromeでこれらの脆弱なプラグインをどのように無効にしますか？UIが見つかりません。

特にJavaの場合、ChromeはすべてのページでデフォルトでJavaを無効にし、サイトが必要とするたびに実行することを許可するように求められます。

より一般的なプラグインの問題については、Chromeを使用すると、すべてのサイトのすべてのプラグインを完全にブロックし、ページをリロードせずに選択的に有効にすることができます。特定のURLの例外を構成することもできます。

これを有効にするには、設定URLのchrome://settings/content[ プラグイン]セクションで、[すべてブロック]を選択します。

このオプションを有効にすると、ページでプラグインを実行する場合、3つのオプションがあります。

• プラグインを右クリックして、コンテキストメニューから[このプラグインを実行]を選択します
• URLバーのプラグインアイコンをクリックし、[今回はすべてのプラグインを実行]を選択します
• 毎回明示的な許可なしにプラグインを実行できるように、信頼するサイトに例外を追加します

Chromeには、一部のバージョンのChromeでフラグの後ろに隠れている「クリックして再生」設定もあります。コメント者が述べたように、このオプションはクリックジャック攻撃に対して脆弱なので、使用しないようにアドバイスします。「すべてブロック」機能を使用する方が良いでしょう。

Google Chrome で非常に古いバグ/機能のリクエストをここで見つけました。
Chrome 6.0以降で表示されます。Javaにアクセスするchrome://plugins/かabout:plugins、Javaを無効にします。

これを行ったら、Javaが無効になっていることを確認するために、Javaプラグインのデモページにアクセスしました。そして実際、それは無効にされました：

しかし、私の一般的な推奨事項は、Javaをアンインストールすることです。絶対に積極的にJavaをインストールする必要がある場合を除き、Javaをシステムにインストールしたくないのです。

また、絶対に必要ではないプラグインを無効にすることをお勧めします。有効になっているプラ​​グインはすべて攻撃対象であり、最新の状態に保つ必要があるもう1つのものです。

Javaで使用する1つの小さなトリックは、x64バージョンのみを探し回ってインストールすることです。これは、IE x64を起動して、参照するようなJava専用アプリを使用するときにのみ使用します。

Javaプラグインのみを無効にするには、-disable-javaスタートアップスイッチを使用できます。例：

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

ブラウザの再起動後にhttp://java.com/en/download/help/testvm.xmlに移動すると、いいメッセージが表示されます

システムで動作するJavaが検出されませんでした。下のボタンをクリックしてJavaをインストールします。

Google Chromeのパワーユーザーガイドで他のスイッチについて読むことができます。他にも役立つ情報があります。

簡単な修正かもしれませんが、Javaを十分にブロックしますが、より全体的なアプローチを好む場合は、次の組み合わせを使用することをお勧めします。

• 更新、脆弱性、自動更新の通知のためのSecunia PSI / VIM
• スタックオーバーフローなどを防ぐためのMicrosoft EMET
• インストーラーによるドライブからの保護のためのBufferZone
• iCore Virtual Accountsは、プロダクションマシンでネットの裏側を歩く必要がある場合（ログイン/ログアウトするのに少し不便であり、セミバーチャライゼーションを使用するためオーバーヘッドがあります-ただし、マシンを1台しか使用できない場合） ...）

これにより、単なるJavaの脆弱性から保護することができます。

これらのアプローチの有効性を測定するには（EMETだけで90％が停止するようです）、Social Engineering Toolkitを使用できます。

Chromeでプラグインを無効にする代わりに、すべてのブラウザでJavaを無効にするためにJavaを構成することもできます。

それを行うには：

1. Javaコントロールパネルを開きます（C:\Program Files\Java\jre7\bin\javacpl.exe）
2. [セキュリティ]タブに移動します
3. 「ブラウザでJavaコンテンツを有効にする」のチェックを外します
4. Javaは、ブラウザを再起動すると有効になることを通知します