Тривалий час в Інтернеті було віддалено від Java разом з іншими плагінами, такими як Flash або Silverlight. Однією з цілей HTML5 було створення основи, де плагіни не потрібні (отже, теги як <audio>
і <video>
). Наразі єдиною причиною підтримки Java є сумісність із застарілими системами, які, мабуть, поки що були звільнені.
То чому такі плагіни як Java - це загроза безпеці? Тому що історія доводила, що завжди буде постійний потік отворів у безпеці, що забезпечує безліч подвигів. Просто важче захистити VM, що працює за допомогою байт-коду Java, ніж пісочниця інтерпретованої мови сценарію, як JavaScript. Просто погляньте на цю статистику .
Як ви кажете, це правильна практика оновлювати свої плагіни. Але цього недостатньо. По-перше, багато людей цього не роблять. Нещодавно було виявлено, що навіть шведський еквівалент NSA використовував застарілі плагіни Java з відомими вразливими місцями безпеки. Якщо вони не зможуть правильно це зробити, чи очікуєте ви, що середній домашній користувач зробить це? По-друге, немає жодного способу захистити себе від нуля днів. Незалежно від того, наскільки швидко Oracle виробляє патчі, ви будете ризикувати.
Навіть Oracle визнали, що ера Java-аплетів закінчилася. Від Ars Technica (січень 2016):
Oracle дуже зловмисний плагін браузера Java, що є джерелом стількох недоліків безпеки протягом багатьох років. Не буде сумувати.
Oracle, який придбав Java в рамках придбання Sun Microsystems 2010 року, оголосив, що плагін буде застарілим у наступному випуску Java версії 9, який наразі доступний як бета-версія раннього доступу. Майбутній випуск видалить його повністю.