在 Google Chrome 中禁用 Java 插件？

Question

这是我第二次使用以下方法在我的机器上安装了一个驱动可执行文件：

• 谷歌浏览器 6（最新）
• Windows 7，UAC 开启

这发生在我浏览图片以添加到 games.se 帖子时；我访问的其中一个站点（为了获取传输电缆的图像）一定运行了浏览器漏洞利用代码。

UAC 提醒我一个奇怪的临时可执行文件想要运行，我拒绝了，但我的机器上仍然运行着假的防病毒可执行文件。叹..

我确实安装了 Java，因为我每个月都会向 clearbits.net 上传东西，而他们的上传器是一个 Java 插件。所以，我最好的猜测是，网站在做驱动，通过安装使用的零日漏洞庞大的数字在Java浏览器插件。

现在，我已经卸载了 Java，它可以工作。但我想知道是否可以在 Google Chrome 中禁用 Java 插件。

那么，如何在 Google Chrome 中禁用这些易受攻击的插件呢？我找不到用户界面。

Answer 1

特别是对于 Java，Chrome 现在默认在所有页面上禁用 Java，并在每次站点需要时提示您允许它运行。

对于更普遍的插件问题，Chrome 允许您完全阻止所有站点上的所有插件，然后允许您在页面上有选择地启用它们而无需重新加载。您还可以为特定 URL 配置例外。

要启用此功能，请在设置 url 的插件部分下：chrome://settings/content选择“全部阻止”。

启用此选项后，当您想在页面上运行插件时，您有 3 个选项：

• 右键单击插件并从上下文菜单中选择“运行此插件”
• 单击 URL 栏中的插件图标，然后选择“这次运行所有插件
• 为您信任的站点添加一个例外，以便它们每次都可以在没有您明确许可的情况下运行插件

Chrome 还具有“点击播放”设置，该设置隐藏在某些版本的 Chrome 中的标志后面。正如一位评论者所提到的，这个选项容易受到点击劫持攻击，所以我建议不要使用它。使用“全部阻止”功能会更好。

Answer 2

我在这里在 Google Chrome 上发现了一个非常古老的错误/功能请求。
它出现在 Chrome 6.0 或更高版本中。在那里访问chrome://plugins/或about:plugins禁用 Java。

一旦我这样做了，为了确保Java 被禁用，我访问了一个Java 插件演示页面。确实它被禁用了：

但我的一般建议是卸载 Java——你真的不希望在你的系统上安装 Java，除非你绝对、肯定必须拥有它......因为它有很多新的漏洞利用。

我还建议禁用您绝对不需要的任何插件。每个启用的插件都是一个攻击面，还有另一件事需要保持最新。

Answer 3

我在 Java 中使用的一个小技巧是四处寻找并仅安装 x64 版本，我仅在启动 IE x64 以使用一次性 Java 应用程序（如您所引用的应用程序）时才使用它。

Answer 4

虽然这可能是一个简单的修复，只是足以阻止 Java，但如果您支持更全面的方法，您可能更喜欢使用以下组合：

• Secunia PSI / VIM用于通知更新、漏洞和自动更新
• Microsoft EMET用于防止堆栈溢出等
• BufferZone用于防止安装者开车
• 当您需要在生产机器上探索网络的阴暗面时，iCore 虚拟帐户（登录/注销有点不方便，并使用半虚拟化，因此有一些开销 - 但当您只有一台机器可供使用时） ...）

这不仅可以保护您免受 Java 漏洞的侵害。

要衡量这些方法的有效性（仅 EMET 似乎可以阻止其中的 90%），您可能需要使用社会工程工具包。

Answer 5

要仅禁用 Java 插件，可以使用-disable-java启动开关。例子：

"C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -disable-java

浏览器重新启动后导航到http://java.com/en/download/help/testvm.xml给出了很好的消息

在您的系统上未检测到可用的 Java。单击下面的按钮安装 Java。

可以在The Power User's Guide to Google Chrome 中了解其他开关。还有其他有用的信息。