Почему плагин Java (JRE) отключен в Chrome?

40

Почему плагин Java (JRE) отключен в Chrome? Это какая-то проблема безопасности?

С официального сайта Java:

Chrome больше не поддерживает NPAPI (технология, необходимая для Java-апплетов). Плагин Java для веб-браузеров опирается на кроссплатформенную архитектуру плагинов NPAPI, которая поддерживается всеми основными веб-браузерами уже более десяти лет. Версия Google Chrome 45 (выпуск которой запланирован на сентябрь 2015 года) прекращает поддержку NPAPI, влияя на плагины для Silverlight, Java, Facebook Video и других подобных плагинов на основе NPAPI.

Но кто-нибудь знает почему? Чем это может быть опасно для пользователя Chrome с установленной последней версией Java JRE?

Михал Кулинский
источник
1
При публикации цитат, пожалуйста, указывайте ссылку на источник в будущем.
8
Вы ответили на свой вопрос: потому что плагин Java использует NPAPI и Chrome больше не поддерживает его.
Гроностай
7
Хотя официальная причина звучит хорошо, мое личное подозрение заключается в том, что последствия между Google и Oracle по сравнению с Android имели гораздо больше общего с этим, чем кто-либо хочет признать.
Devsman
2
Почему Java отключена? на первом месте "почему Flash и Java включены?" Если я не очень доверяю сайту, я даже отключаю Javascript (ну, на самом деле у меня есть
ярлык
1
@Devsman Если бы это была просто Java, ваш аргумент мог бы быть правдоподобным, но Google использует все плагины (как и Mozilla). Silverlight, Acrobat Reader, Shockwave, Unity, QuickTime, Real Player и т. Д. Были поражены одним и тем же молотом запрета. Все они были широко установлены и, по крайней мере, время от времени использовались большим количеством людей. Все предоставленные вещи, которые нельзя было сделать в браузере напрямую 5-20 лет назад; но которые могут быть реализованы либо встроенными браузерами, либо непосредственно HTML5 в эти дни ...
Дэн Нили,

Ответы:

59

Почему Java отключена в Chrome? Это какая-то проблема безопасности?

Причины, побуждающие отключить NPAPI и, следовательно, Java, включают следующее в соответствии с блогом Chromium:

  • Повышенная безопасность
  • Увеличенная скорость
  • Повышенная стабильность
  • Уменьшение сложности кода
  • Уменьшение аварий
  • Уменьшение зависаний
  • Отсутствие поддержки мобильных устройств

Заметка:

  • Firefox также прекращает поддержку NPAPI - см. Плагины NPAPI в Firefox :

    Плагины являются источником проблем с производительностью, сбоев и инцидентов безопасности для веб-пользователей.

    Mozilla планирует отменить поддержку большинства плагинов NPAPI в Firefox к концу 2016 года.


Чем это может быть опасно для пользователей Chrome с установленной последней версией Java JRE?

Краткий ответ: подвиги Zero Day.

Другим источником уязвимостей является тот факт, что Java не выпустила автоматическое средство обновления, которое не требует вмешательства пользователя и прав администратора. Например, Google Chrome и Flash Player есть. Эта функция позволяет пользователям получать автоматические обновления без запроса на выполнение действий, что упрощает обновление.

Из-за отсутствия автоматической системы обновлений многие пользователи игнорируют обновления Java и даже боятся их устанавливать из-за вредоносного ПО, которое использовало обновления Java в качестве вектора заражения в прошлом или аналогичного.

Просто знайте, что все эти уязвимости - то, на чем процветают киберпреступники.

...

Данные, извлеченные из нашей собственной базы данных, подтверждают, что Java является второй по величине уязвимостью безопасности, которая требует постоянного исправления после плагина Adobe Flash.

Только в 2015 году мы уже развернули 105925 исправлений для Java Runtime Environment для наших клиентов.

введите описание изображения здесь

Прочитайте остальную часть статьи для подробного объяснения и комментария.

Источник Почему уязвимости Java являются одной из самых больших дыр в безопасности вашего компьютера?


Финальный отсчет для NPAPI

В сентябре прошлого года мы объявили о нашем плане по удалению поддержки NPAPI из Chrome, что улучшит безопасность, скорость и стабильность Chrome, а также уменьшит сложность в кодовой базе.

Источник Окончательный отсчет для NPAPI


Прощаемся с нашим старым другом NPAPI

Архитектура NPAPI 90-х годов стала основной причиной зависаний, сбоев, инцидентов безопасности и сложности кода. Из-за этого Chrome постепенно прекратит поддержку NPAPI в следующем году. Мы чувствуем, что сеть готова к этому переходу. NPAPI не поддерживается на мобильных устройствах, и Mozilla планирует сделать все плагины, за исключением текущей версии Flash, воспроизводимой по умолчанию.

Источник прощается с нашим старым другом NPAPI

ДэвидПостилл
источник
47
Сам установщик Java также является вектором для программного обеспечения. Ежедневное обновление для системы безопасности Java требует, чтобы вы просматривали каждую страницу программы установки, чтобы убедиться, что Oracle не встроен в какой-то новый макет MacAffee.
2
@JS. Может быть, я что-то упускаю, но лично я никогда не видел, чтобы установщик Java предлагал установить что-то еще, кроме Java. Реальная причина, почему Google отключает Java? Google не хочет, чтобы разработчики писали программное обеспечение для чего-то еще, кроме того, что они контролируют.
Малкольм
14
@Malcom: взгляни еще раз. java.com расскажет вам, как отключить спонсорские предложения; поэтому они включают спонсорские предложения, которые люди хотят отключить. java.com/en/download/faq/disable_offers.xml
Росс Прессер
3
@RossPresser, если вы скачиваете с oracle, вы не получаете спонсорских предложений.
DavidPostill
7
@Malcolm из 2011-2015, официальный установщик Java от Oracle, включил следующее: java.com/ga/images/en/ask_offer.jpg
hobbs
4

Как объясняет Google , API-интерфейс Netscape Plug-in (NPAPI) был необходим в первые дни веб-браузеров для расширения их функций. К сожалению, он предоставил доступ к базовой машине. Таким образом, если плагин содержал уязвимость и злоумышленник использовал ее, злоумышленник обошел «песочницу» браузера и получил доступ к компьютеру.

Такие векторы атак в прошлом широко использовались для заражения компьютеров, что привело к совету, согласно которому вы должны отключить Java в своем браузере. Многие функции, предоставляемые плагинами Java, теперь включены самим браузером (например, HTML5) с лучшей производительностью и безопасностью или с расширениями, работающими в песочнице (например, NaCL ). Вот почему было принято решение больше не поддерживать плагины Java: высокий риск, но в этом нет реальной необходимости.

Ronny
источник
2

В течение долгого времени в Интернете был удален Java и другие плагины, такие как Flash или Silverlight. Одной из целей HTML5 было создание фреймворка, в котором плагины не нужны (следовательно, такие теги, как <audio>и <video>). К настоящему времени единственной причиной поддержки Java является совместимость с унаследованными системами, которые, вероятно, в любом случае должны быть уже удалены.

Так почему же такие плагины, как Java, представляют угрозу безопасности? Потому что история доказала, что всегда будет постоянный поток дыр в безопасности, допускающих множество подвигов. Просто защитить виртуальную машину, работающую с байт-кодом Java, сложнее, чем изолировать интерпретируемый язык сценариев, такой как JavaScript. Просто посмотрите на эту статистику .

Как вы говорите, рекомендуется регулярно обновлять плагины. Но этого недостаточно. Во-первых, многие люди этого не делают. Недавно было обнаружено, что даже в шведском эквиваленте NSA используются устаревшие плагины Java с известными уязвимостями безопасности. Если они не могут сделать это правильно, ожидаете ли вы, что средний домашний пользователь сделает это? Во-вторых, нет способа защитить себя от нулевых дней. Независимо от того, насколько быстро Oracle выпускает патчи, вы будете в опасности.

Даже Oracle признал, что эра Java-апплетов закончилась. От Ars Technica (январь 2016 г.):

Оскорбленный плагином Java-браузер, который за многие годы стал источником многих недостатков безопасности, должен быть уничтожен Oracle. Это не будет оплакиваться.

Oracle, которая приобрела Java в рамках своей покупки Sun Microsystems в 2010 году, объявила, что плагин будет устаревшим в следующем выпуске Java версии 9, который в настоящее время доступен как бета-версия раннего доступа. Будущий релиз полностью удалит его.


источник