Чому плагін Java (JRE) відключений у Chrome?

40

Чому плагін Java (JRE) відключений у Chrome? Це якась турбота про безпеку?

З офіційного веб-сайту Java:

Chrome більше не підтримує NPAPI (технологія, необхідна для апплетів Java) Плагін Java для веб-браузерів спирається на архітектуру плагінів крос-платформ NPAPI, яку підтримують усі основні веб-браузери вже більше десяти років. Google версії 45 Chrome (запланований до випуску у вересні 2015 року) скасовує підтримку NPAPI, впливаючи на плагіни для Silverlight, Java, Facebook Video та інших подібних плагінів на базі NPAPI.

Але хто знає чому? Чим це може бути небезпечно для користувача Chrome із встановленою останньою версією Java JRE?

google-chrome  java 
Міхал Кулінський
джерело
1
При розміщенні цитат, будь-ласка, будь-ласка, включіть посилання на джерело в майбутньому.
8
Ви відповіли на своє запитання: оскільки плагін Java використовує NPAPI, а Chrome більше не підтримує його.
gronostaj
7
Хоча офіційна причина звучить добре, мої особисті підозри в тому, що аварія між Google та Oracle через Android мала набагато більше стосунків, ніж хто-небудь хоче визнати.
Девсман
2
Чому Java відключена? по-перше, "чому Flash і Java включені?" Якщо я дуже не довіряю сайту, я навіть відключаю Javascript (ну, насправді, у мене є
ярлик
1
@Devsman Якби це була лише Java, ваш аргумент може бути правдоподібним, але Google продовжує працювати над усіма плагінами (як і Mozilla). Silverlight, Acrobat Reader, ударна хвиля, єдність, швидкість роботи, справжній програвач тощо, потрапили в один і той же молоток заборони. Всі вони були широко встановлені і принаймні періодично використовувалися великою кількістю людей протягом багатьох років. Усі умови, які неможливо було зробити безпосередньо в браузері 5-20 років тому; але які можна виконувати безпосередньо через веб-переглядачі або HTML5 безпосередньо ...
Dan Neely

Відповіді:

59

Чому Java відключена в Chrome? Це якась турбота про безпеку?

Причини, що спонукають вимкнути NPAPI, а отже, і Java, включають наступні дані відповідно до Chromium Blog:

  • Підвищена безпека
  • Підвищена швидкість
  • Підвищена стійкість
  • Зменшення складності коду
  • Зменшення аварій
  • Редукція в повісах
  • Відсутність підтримки мобільних пристроїв

Примітка:

  • Firefox також припиняє підтримку NPAPI - див. Плагіни NPAPI у Firefox :

    Плагіни - це джерело проблем із продуктивністю, збоїв та інцидентів із безпекою для користувачів Інтернету.

    Mozilla має намір зняти підтримку більшості плагінів NPAPI у Firefox до кінця 2016 року.

Чим це може бути небезпечно для користувачів Chrome із встановленою останньою версією Java JRE?

Коротка відповідь: Нульовий день подвигів.

Іншим джерелом вразливості є той факт, що Java не випустила автоматичного оновлення, яке не потребує втручання користувача та адміністративних прав. Наприклад, є Google Chrome і Flash Player. Ця функція дозволяє користувачам отримувати автоматичні оновлення, не вимагаючи вжити заходів, полегшуючи оновлення.

Через відсутність автоматичної системи оновлень багато користувачів ігнорують оновлення Java і навіть бояться їх встановити через зловмисне програмне забезпечення, яке використовувало оновлення Java як переносник інфекції в минулому або подібний досвід.

Просто знайте, що всі ці вразливості - це те, на що процвітають кіберзлочинці.

...

Дані, витягнуті з нашої бази даних, підтверджують, що Java - це друга за величиною вразливість безпеки, яка потребує постійного виправлення після плагін Adobe Flash.

Тільки у 2015 році ми вже розробили 105925 патчів для Java Runtime Environment для наших клієнтів.

введіть тут опис зображення

Прочитайте решту статті для детального пояснення та коментаря.

Джерело Чому вразливості Java - одна з найбільших дірок безпеки на вашому комп'ютері?

Остаточний відлік часу для NPAPI

У вересні минулого року ми оголосили про свій план усунути підтримку NPAPI з Chrome, що змінить безпеку, швидкість та стабільність Chrome, а також зменшить складність бази коду.

Джерело Підсумковий відлік для NPAPI

Попрощавшись із нашим давнім другом NPAPI

Архітектура NPAPI 90-х років стала провідною причиною зависань, аварій, інцидентів безпеки та складності коду. Через це Chrome протягом наступного року припинятиме підтримку NPAPI. Ми вважаємо, що Інтернет готовий до цього переходу. NPAPI не підтримується на мобільних пристроях, і Mozilla планує запустити всі додатки, крім поточної версії Flash click-to-play.

Джерело, прощаючись із нашим старим другом NPAPI

DavidPostill
джерело
47
Сам інсталятор Java також є вектором для crapware. Щоденне оновлення безпеки Java вимагає, щоб ви перебирали кожну сторінку інсталятора, щоб переконатися, що Oracle не вкладений у якийсь новий краплет MacAffee.
2
@JS. Можливо, мені чогось не вистачає, але особисто я ніколи не бачив, щоб інсталятор Java пропонував інше встановити крім Java. Справжня причина, чому Google відключає Java? Google не хоче, щоб розробники писали програмне забезпечення нічого іншого, крім того, над чим вони мають контроль.
Малькольм
14
@Malcom: поглянь по-іншому. java.com розповідає, як відключити спонсорські пропозиції; тому вони включають пропозиції спонсорів, які люди хочуть відключити. java.com/en/download/faq/disable_offers.xml
Росс Пресер
3
@RossPresser, якщо ви завантажите з Oracle, ви не отримаєте пропозицій спонсора.
DavidPostill
7
@Malcolm з 2011-2015 рр. Офіційний інсталятор Java від Oracle включив це: java.com/ga/images/en/ask_offer.jpg
hobbs
4

Як пояснив Google , API Netscape Plug-in (NPAPI) був потрібний для веб-браузерів у перші дні, щоб розширити їх функції. На жаль, це забезпечило доступ до базової машини. Таким чином, якщо плагін містив уразливість і зловмисник використовував його, зловмисник обійшов пісочницю браузера і мав доступ до машини.

Такі вектори атак широко використовувались у минулому для зараження машинами, що призводить до поради, що слід вимкнути Java у своєму браузері. Багато функцій, що надаються плагінами Java, тепер включаються самим браузером (наприклад, HTML5) з кращою продуктивністю та безпекою, або з розширеннями, що працюють в пісочниці (наприклад, NaCL ). Ось чому було прийнято рішення більше не підтримувати плагіни Java: високий ризик, але реальної потреби в цьому немає.

Ронні
джерело
2

Тривалий час в Інтернеті було віддалено від Java разом з іншими плагінами, такими як Flash або Silverlight. Однією з цілей HTML5 було створення основи, де плагіни не потрібні (отже, теги як <audio>і <video>). Наразі єдиною причиною підтримки Java є сумісність із застарілими системами, які, мабуть, поки що були звільнені.

То чому такі плагіни як Java - це загроза безпеці? Тому що історія доводила, що завжди буде постійний потік отворів у безпеці, що забезпечує безліч подвигів. Просто важче захистити VM, що працює за допомогою байт-коду Java, ніж пісочниця інтерпретованої мови сценарію, як JavaScript. Просто погляньте на цю статистику .

Як ви кажете, це правильна практика оновлювати свої плагіни. Але цього недостатньо. По-перше, багато людей цього не роблять. Нещодавно було виявлено, що навіть шведський еквівалент NSA використовував застарілі плагіни Java з відомими вразливими місцями безпеки. Якщо вони не зможуть правильно це зробити, чи очікуєте ви, що середній домашній користувач зробить це? По-друге, немає жодного способу захистити себе від нуля днів. Незалежно від того, наскільки швидко Oracle виробляє патчі, ви будете ризикувати.

Навіть Oracle визнали, що ера Java-аплетів закінчилася. Від Ars Technica (січень 2016):

Oracle дуже зловмисний плагін браузера Java, що є джерелом стількох недоліків безпеки протягом багатьох років. Не буде сумувати.

Oracle, який придбав Java в рамках придбання Sun Microsystems 2010 року, оголосив, що плагін буде застарілим у наступному випуску Java версії 9, який наразі доступний як бета-версія раннього доступу. Майбутній випуск видалить його повністю.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.