Los desarrolladores de Firefox están debatiendo hacer que el navegador web deje de soportar el plugin Java para mitigar los problemas derivados del ataque "BEAST" presentado la semana pasada por Duong y Rizzo en la conferencia Ekoparty. Este ataque permite desencriptar tráfico https del navegador web; aunque es bastante CPU intensivo en la conferencia sus creadores demostraron como eran capaces de robar una cookie https de Paypal en un par de minutos.
Debido a un bug en Java, un Applet Java no firmado y sin permisos puede establecer conexiones de red con servicios que estén corriendo en el local host. El ataque de Duong y Rizzo consiste en emplear un snipher local en el equipo del usuario atacado para ver el tráfico encriptado, y a continuación emplea un ataque criptográfico (que todavía no entiendo en detalle, pero de lo que no hay duda es que funciona) contra los datos.
Este ataque es bastante serio ya que virtualmente convierte a una conexión https en vulnerable si el usuario tiene cargado en otra pestaña del navegador código malicioso. El principal vector de ataque (quizás el único en la práctica según algunos comentarios en el foro de Mozilla) es Java, por lo que se están planteando deshabilitar el plugin Java en FireFox.
La discusión fundamentalmente va en la línea de sí la seguridad para los usuarios compensa la mala experiencia que van a tener; Java todavía se emplea en Applets para alguna que otra aplicación bastante extendida como el video-chat de Facebook.
Chrome por su parte parece haber arreglado temporalmente este problema rompiendo en fragmentos los datos que se van a encriptar. Esta actualización está disponible en la versión beta del navegador. Aunque esta solución parece estar causando bugs en el funcionamiento del navegador web de Google con alguna web.
Al margen de lo que el ataque BEAST pueda significar para https, está claro que esto es una mala noticia para Java. Una vez más, Java y el escritorio se lleva la fama de ser una forma para comprometer la integridad de los equipos de los usuarios.
Oracle tiene que hacer algo sobre estos continuos problemas de seguridad de Java si quiere que empresas como Facebook siga usando esta tecnología para aplicaciones de cliente, y sea más largo plazo quiere que JavaFX tenga futuro.