40

Почему плагин Java (JRE) отключен в Chrome? Это какая-то проблема безопасности?

С официального сайта Java:

Chrome больше не поддерживает NPAPI (технология, необходимая для Java-апплетов). Плагин Java для веб-браузеров опирается на кроссплатформенную архитектуру плагинов NPAPI, которая поддерживается всеми основными веб-браузерами более десяти лет. Версия Google Chrome 45 (выпуск которой запланирован на сентябрь 2015 года) прекращает поддержку NPAPI, влияя на плагины для Silverlight, Java, Facebook Video и других подобных плагинов на основе NPAPI.

Но кто-нибудь знает почему? Чем это может быть опасно для пользователя Chrome с установленной последней версией Java JRE?

3 ответа3

60

Почему Java отключена в Chrome? Это какая-то проблема безопасности?

Причины, приводящие к отключению NPAPI и, следовательно, Java, включают следующее в соответствии с блогом Chromium:

  • Повышенная безопасность
  • Увеличенная скорость
  • Повышенная стабильность
  • Уменьшение сложности кода
  • Уменьшение аварий
  • Уменьшение зависаний
  • Отсутствие поддержки для мобильных устройств

Замечания:

  • Firefox также прекращает поддержку NPAPI - см. Плагины NPAPI в Firefox:

    Плагины являются источником проблем с производительностью, сбоев и инцидентов безопасности для веб-пользователей.

    Mozilla намерена прекратить поддержку большинства плагинов NPAPI в Firefox к концу 2016 года.


Чем это может быть опасно для пользователей Chrome с установленной последней версией Java JRE?

Краткий ответ: подвиги Zero Day.

Еще одним источником уязвимостей является тот факт, что Java не выпустила автоматическое средство обновления, которое не требует вмешательства пользователя и прав администратора. Например, Google Chrome и Flash Player есть. Эта функция позволяет пользователям получать автоматические обновления без запроса на выполнение действий, что упрощает обновление.

Из-за отсутствия системы автоматических обновлений многие пользователи игнорируют обновления Java и даже боятся их устанавливать из-за вредоносного ПО, которое использовало обновления Java в качестве вектора заражения в прошлом или аналогичного.

Просто знайте, что все эти уязвимости - то, на чем процветают киберпреступники.

...

Данные, извлеченные из нашей собственной базы данных, подтверждают, что Java является второй по величине уязвимостью безопасности, которая требует постоянного исправления после плагина Adobe Flash.

Только в 2015 году мы уже развернули 105925 исправлений для Java Runtime Environment для наших клиентов.

Прочитайте остальную часть статьи для подробного объяснения и комментария.

Источник Почему уязвимости Java являются одной из самых больших дыр в безопасности вашего компьютера?


Финальный отсчет для NPAPI

В сентябре прошлого года мы объявили о нашем плане по удалению поддержки NPAPI из Chrome, что улучшит безопасность, скорость и стабильность Chrome, а также уменьшит сложность в кодовой базе.

Источник Окончательный отсчет для NPAPI


Прощаемся с нашим старым другом NPAPI

Архитектура 90-х годов NPAPI стала основной причиной зависаний, сбоев, инцидентов безопасности и сложности кода. Из-за этого Chrome постепенно прекратит поддержку NPAPI в следующем году. Мы чувствуем, что сеть готова к этому переходу. NPAPI не поддерживается на мобильных устройствах, и Mozilla планирует по умолчанию выпускать все плагины, кроме текущей версии Flash, воспроизводимой по клику.

Источник прощается с нашим старым другом NPAPI

4

Как объясняет Google, API-интерфейс подключаемого модуля Netscape (NPAPI) был необходим в первые дни веб-браузеров для расширения их функций. К сожалению, он предоставил доступ к базовой машине. Таким образом, если плагин содержал уязвимость и злоумышленник использовал ее, злоумышленник обошел «песочницу» браузера и получил доступ к компьютеру.

Такие векторы атак в прошлом широко использовались для заражения компьютеров, что привело к совету, согласно которому вы должны отключить Java в своем браузере. Многие функции, предоставляемые плагинами Java, теперь включены самим браузером (например, HTML5) с лучшей производительностью и безопасностью или с расширениями, работающими в песочнице (например, NaCL). Вот почему было принято решение больше не поддерживать плагины Java: высокий риск, но в этом нет реальной необходимости.

2

В течение долгого времени в Интернете был удален Java, а также другие плагины, такие как Flash или Silverlight. Одной из целей HTML5 было создание инфраструктуры, в которой плагины не нужны (отсюда и такие теги, как <audio> и <video>). К настоящему времени единственной причиной поддержки Java является совместимость с унаследованными системами, которые, вероятно, в любом случае должны быть уже удалены.

Так почему же такие плагины, как Java, представляют собой угрозу безопасности? Потому что история доказала, что всегда будет постоянный поток дыр в безопасности, допускающих множество подвигов. Просто защитить виртуальную машину, работающую с байт-кодом Java, сложнее, чем изолировать интерпретируемый язык сценариев, такой как JavaScript. Просто посмотрите на эту статистику.

Как вы говорите, рекомендуется регулярно обновлять плагины. Но этого недостаточно. Во-первых, многие люди этого не делают. Недавно было обнаружено, что даже в шведском эквиваленте NSA используются устаревшие плагины Java с известными уязвимостями в безопасности. Если они не могут сделать это правильно, ожидаете ли вы, что средний домашний пользователь сделает это? Во-вторых, нет способа защитить себя от нулевых дней. Независимо от того, насколько быстро Oracle выпускает патчи, вы будете в опасности.

Даже Oracle признал, что эра Java-апплетов закончилась. От Ars Technica (январь 2016 г.):

Оскорбленный плагином Java-браузер, который за многие годы стал источником многих недостатков безопасности, должен быть уничтожен Oracle. Это не будет оплакиваться.

Oracle, которая приобрела Java в рамках своей покупки Sun Microsystems в 2010 году, объявила, что плагин будет устаревшим в следующем выпуске Java версии 9, который в настоящее время доступен в качестве бета-версии раннего доступа. Будущий релиз полностью удалит его.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .