Firefox: lamentele per il trattamento riservato a Java

Mozilla lo aveva annunciato all’inizio dell’anno: nel 2013 avrebbe rivoluzionato la gestione dei plugin da parte del suo browser Firefox. Fino al rilascio di Firefox 24, infatti, tutti i plugin installati venivano automaticamente caricati, fatta eccezione per quelli presenti nella “lista nera” mantenuta e continuamente aggiornata sui server di Mozilla. Dalla fondazione, però, si è spesso ricordato come i problemi per gli utenti arrivino non tanto dal browser (che da tempo include una routine per l’aggiornamento automatico) quanto proprio dai plugin che talvolta rallentano pesantemente la navigazione oppure rappresentano un grave rischio per la sicurezza.

Con il rilascio di Firefox 24, risalente a metà settembre scorso, però, Mozilla ha deciso per un cambiamento radicale iniziando a prendersela in primis con Java. L’ultima versione del browser, infatti, blocca automaticamente qualunque release del plugin di Java, indipendentemente dal fatto che sul sistema sia installata l’ultima versione od una di quelle precedenti. Non solo, Firefox 24 bloccherà qualunque futura versione dei plugin Java.

La decisione sta sollevando proprio in queste settimane sempre più scalpore. Da un lato è vero che l’utilizzo di versioni obsolete dei plugin Java è il modo migliore per contrarre infezioni malware navigando in Rete ma dall’altro va riconosciuto che l’utente, soprattutto in contesti professionali, potrebbero aver la necessità di eseguire applet Java (Websense: le utenze aziendali non aggiornano Java; Java è sicuro? Come difendersi dalle minacce più recenti).

Eppure Java viene adesso considerato da Mozilla come “intrinsecamente insicuro” tagliando il più possibile i ponti con il plugin installato dalla piattaforma oggi aggiornata da Oracle.

Su Bugzilla, lo strumento utilizzabile per segnalare bug ai programmatori di Mozilla, proprio in questi giorni si sta sollevando un polverone: alcuni amministratori di rete hanno contestato a Mozilla di non aver assunto una posizione neutrale causando problemi a quelle realtà aziendali ove si fa ampio uso di soluzioni sviluppate in Java.
Guardando la storia di Java, il prodotto è senza dubbio uno degli elementi maggiormente presi di mira dagli aggressori grazie alle tante vulnerabilità che sono presenti nelle versioni più vecchie della piattaforma. Ma non è forse eccessivo bloccare completamente anche l’uso dei plugin Java correttamente aggiornati all’ultima versione?
D’altra parte, anche la presenza di versioni obsolete del plugin Flash è spesso sfruttata da parte dei malintenzionati per aggreddire il sistema dell’utente.

Oggetto di sferzanti critiche, in questi giorni, è anche il sistema di notifica scelto da Mozilla. Ogniqualvolta si visita una pagina web che fa uso di applet Java, il browser mostra un’icona di colore rosso in cima all’URL. Nel momento in cui vi siano degli elementi Java nell’area visibile della pagina, viene visualizzato un messaggio che invita ad effettuare il cosiddetto “click to play” ossia a fare clic nell’apposito riquadro per attivare l’applet.
Ciò però non sempre accade e talvolta la piccola icona nella barra degli indirizzi resta l’unico indizio di qualche problema sulla pagina in corso di visita. È vero che l’icona lampeggia alcune volte per attirare l’attenzione ma gli utenti meno esperti potrebbero comunque non capire il significato del messaggio.

In questa pagina Mozilla dà indicazioni su come usare Java quando è stato bloccato chiarendo il funzionamento del meccanismo “click to play” e spiegando come impostare eventualmente un’eccezione per uno o più siti.

Al momento sembra che Mozilla voglia proseguire sulla stessa strada. A partire da Firefox 26, anche il plugin Flash sarà bloccato in modo permanente, eccezion fatta per la versione più recente. I contenuti gestiti con qualunque altro plugin, invece, potranno essere visualizzati solo autorizzando espressamente il caricamento (“click to play“).