FireFox click2play not the end

[Aels]

согласно https://blog.mozilla.org/security/2013/01/1...-vulnerability/

To protect Firefox users we have enabled Click To Play for recent versions of Java on all platforms (Java 7u9, 7u10, 6u37, 6u38). Firefox users with older versions of Java are already protected by existing plugin blocking or Click To Play defenses.

Но у меня, обновившись только что до последнего стейбл-релиза (18й), Java по-прежнему доступна без клика, сразу.

У кого фокс уже просит клика по яве?

А теперь мысли:
1) Фокс может определять, что будет вызвана именно ява по:
- параметру type в теге embed или object
- для всех applet-тегов
- в случае отсутствия type, он должен обратиться к хедеру content-type, отдаваемому с апплетом.
- В случае отсутствия content-type-хедера, он должен смотреть на расширение файла.

- Может прерывать вызов ява-плагина после всех попыток определить содержимое, непосредственно в момент его вызова.

На самом деле, именно в фф порядок определения такой: type > расширение > content-type.
Мне не известно, какие mime-типы были включены в список заблокированных.
Мы имеем на выбор
- application/java-archive
- application/x-java-archive
- application/x-java-pack200
- application/x-java-jnlp-file

Расширения файлов, которые так же числятся за ява-плагином:
- jar
- war
- class (не самый удобный вариант)
- jnlp

Возможно, что фокс определяет необходимость блокирования явы, на основе типа содержимого, и тогда есть шанс, что не все типы были включены в черный список.

Вопросы следующие:
- как обновиться до версии, в которой ява запускается по клику.
- кто проверит разные типы и способы включения явы на страницу?) (сам проверю, если скажете как обновиться)

 

[Ar3s]

Мой FF на этой странице пишет "В этом плагине имеются уязвимости безопасности. Щелкните здесь для включения плагина Java™ Platform SE 7 U". FF обновился вчера автоматом. Руками ничего не делал.

 

[neko]

У меня свежеустановленный фаерфокс сигнализирует о заблокированной жаве мигая иконкой справа от url.

Надо сказать, что запрос к jar идет непосредственно из java.exe процесса так что варианты

- в случае отсутствия type, он должен обратиться к хедеру content-type, отдаваемому с апплетом.
- В случае отсутствия content-type-хедера, он должен смотреть на расширение файла.

отпадают сразу, тк он content type не видит сам. Скорее всего необходимость вызова джавы определенной версии (applet + object/embed) и сигнализирует о необходимости блокировки, так что имхо здесь сделать ничего не получиться.

>> кто проверит разные типы и способы включения явы на страницу?) (сам проверю, если скажете как обновиться)

Это просто, сделайте load.php и отдавайте джаву:

    private function echo_file($path, $content)
    {
        $size = filesize($path);
        $fp = fopen($path, "r");
        $source = fread($fp, $size);
        fclose($fp);

        header("Accept-Ranges: bytes\r\n");
        header("Content-Length: ".$size."\r\n");
        header("Content-Disposition: inline; filename=".$path);
        header("\r\n");
        header("Content-Type: " . $content ."\r\n\r\n");
        echo $source;
    }

впрочем это бесполезно имхо в свете вышесказанного.

>> Расширения файлов, которые так же числятся за ява-плагином
на расширения сама java не смотрит совершенно.

 

[Aels]

Ребут виртуалки помог включить click2play.
Итак, результаты тестов:

<applet> отбрасываем сразу

<object>, без указанного type-параметра не заводится в принципе.

Для <embed>, без указанного type-параметра, проверяет расширение, и если оно ассоциировано с одним из понимаемым им типов (фоксом, а не его плагинами), пытается отобразить. Если расширение общее (php например) - фф обращается к файлу из параметра src (а не code, как для явы), скачивает его, и смотрит content-type. После этого момента, плагины вызваны быть не могут, и содержимое отобразится только если content-type ассоциирован с внутренними типами фф.

Проще говоря, для ФФ нет способа отобразить ява-аплет, не указывая явно type-параметр в теге.

Что касается альтернативных типов, с ява-плагином не ассоциировано ничего кроме application/x-java-archive.
-- дополнено --
Так же, по клику запускаются файлы типов application/x-java-vm, application/x-java-bean, application/x-java-deployment-toolkit. Так что блок вызова похоже действительно на самом плагине.

Итог - все плохо.

 

[GrandSoft]

Ага. Добавлю что джава 1.7.0.11 теперь в любом браузере запускается только с разрешения юзера.
Т.ч. на самом деле всё еще хуже.

 

[Aels]

Только что проверил смену type после загрузки. Не работает. Новый type не интерпретируется, пока не будет сменен src (не data, а именно src), и соответственно, после смены src, <object> перегружается полностью, и ждет клика с серым окошком.

Так же проверил запуск из svg.

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg xmlns="http://www.w3.org/2000/svg" version="1.1" viewBox="0 0 200 200">
<script type="application/java-archive" xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="http://plugins/JavaVersionDisplayApplet.class"/>
<rect x="20" y="20" width="100" height="100" fill="green" stroke="blue" stroke-width="2" />
</svg>

Эффект так же нулевой - сетевых запросов нет, значит не тянется аплет.
И пусть не ловится оно, но я добью засранку-яву все равно.
Теперь у меня идеи кончились окончательно.

Подкиньте что-нибудь для размышлений.

 

[el-]

а смысл, просто фо фан ? фф все равно закрывает доступ для старых версий явы + новая политика явы в 11 апдейте.

на ум приходит еще jnlp файлы, правда хз можно ли вообще через них что то сделать, знаю только что в них находили баги.

 

[Aels]

el-
а хз, наверное уже для забывы. Пока не было апдейта, был смысл. Теперь, когда 10я - устаревшая, ее уже никак не включить без привилегий аддона.
С горя вспомнил аж про wmp-плагин, и его htmlView. Ковыряюсь вокруг, мало ли, чего забыли.