В течение долгого времени в Интернете был удален Java, а также другие плагины, такие как Flash или Silverlight. Одной из целей HTML5 было создание инфраструктуры, в которой плагины не нужны (отсюда и такие теги, как <audio>
и <video>
). К настоящему времени единственной причиной поддержки Java является совместимость с унаследованными системами, которые, вероятно, в любом случае должны быть уже удалены.
Так почему же такие плагины, как Java, представляют собой угрозу безопасности? Потому что история доказала, что всегда будет постоянный поток дыр в безопасности, допускающих множество подвигов. Просто защитить виртуальную машину, работающую с байт-кодом Java, сложнее, чем изолировать интерпретируемый язык сценариев, такой как JavaScript. Просто посмотрите на эту статистику.
Как вы говорите, рекомендуется регулярно обновлять плагины. Но этого недостаточно. Во-первых, многие люди этого не делают. Недавно было обнаружено, что даже в шведском эквиваленте NSA используются устаревшие плагины Java с известными уязвимостями в безопасности. Если они не могут сделать это правильно, ожидаете ли вы, что средний домашний пользователь сделает это? Во-вторых, нет способа защитить себя от нулевых дней. Независимо от того, насколько быстро Oracle выпускает патчи, вы будете в опасности.
Даже Oracle признал, что эра Java-апплетов закончилась. От Ars Technica (январь 2016 г.):
Оскорбленный плагином Java-браузер, который за многие годы стал источником многих недостатков безопасности, должен быть уничтожен Oracle. Это не будет оплакиваться.
Oracle, которая приобрела Java в рамках своей покупки Sun Microsystems в 2010 году, объявила, что плагин будет устаревшим в следующем выпуске Java версии 9, который в настоящее время доступен в качестве бета-версии раннего доступа. Будущий релиз полностью удалит его.