Почему в Chrome отключен плагин Java (JRE)?

Почему в Chrome отключен плагин Java (JRE)? Это проблема безопасности?

С официального сайта Java:

Chrome больше не поддерживает NPAPI (технология, требуемая для Java-апплетов). Плагин Java для веб-браузеров основывается на архитектуре плагинов с перекрестной платформой NPAPI, которая уже более десяти лет поддерживается всеми основными веб-браузерами. Google Chrome версии 45 (запланирован к выпуску в сентябре 2015 года) снижает поддержку NPAPI, влияя на плагины для Silverlight, Java, Facebook Video и других подобных плагинов на основе NPAPI.

Но кто-нибудь знает почему? Как это может быть опасно для пользователя Chrome с установленной версией Java JRE?

  • Как я могу установить один браузер для использования JRE 1.5, а другой - для использования JRE 1.6?
  • Как генерировать случайные целые числа в определенном диапазоне в Java?
  • Невозможно изменить настройки обновления Java в панели управления Windows 7
  • Должен ли я избегать использования методов set (Preferred | Maximum | Minimum) в Java Swing?
  • Как округлить число до n десятичных знаков в Java
  • Когда вы используете аннотацию @Override Java и почему?
  • Как заставить cron запускать приложение Java GUI?
  • Чтение текстового файла в Java
  • 3 Solutions collect form web for “Почему в Chrome отключен плагин Java (JRE)?”

    Почему Java отключена в Chrome? Это проблема безопасности?

    Причины, приводящие к отключению NPAPI и, следовательно, Java, включают следующее в соответствии с блоком Chromium:

    • Повышенная безопасность
    • Увеличенная скорость
    • Повышенная стабильность
    • Сокращение сложности кода
    • Сокращение сбоев
    • Уменьшение зависаний
    • Отсутствие поддержки мобильных устройств

    Заметка:

    • Firefox также отбрасывает поддержку NPAPI – см. Плагины NPAPI в Firefox :

      Плагины – это источник проблем с производительностью, сбоев и инцидентов безопасности для веб-пользователей.

      Mozilla намерена удалить поддержку большинства плагинов NPAPI в Firefox до конца 2016 года.


    Как это может быть опасно для пользователей Chrome с установленной версией Java JRE?

    Короткий ответ: Zero Day Exploits.

    Другим источником уязвимостей является тот факт, что Java не выпустил автоматическое обновление, которое не требует вмешательства пользователя и административных прав. Например, у Google Chrome и Flash Player есть. Эта функция позволяет пользователям получать автоматические обновления без необходимости принимать меры, упрощая обновление.

    Из-за отсутствия автоматической системы обновления многие пользователи игнорируют обновления Java и даже опасаются их установки из-за вредоносного ПО, которое использовало обновления Java в качестве вектора инфекции в прошлом или аналогичные события.

    Просто знайте, что все эти уязвимости – это то, что процветают киберпреступники.

    Данные, извлеченные из нашей собственной базы данных, подтверждают, что Java является второй по величине уязвимостью безопасности, которая требует постоянного исправления после плагина Adobe Flash.

    Только в 2015 году мы уже развернули 105925 исправлений для Java Runtime Environment для наших клиентов.

    Введите описание изображения здесь

    Прочтите остальную часть статьи для подробного объяснения и комментариев.

    Источник Почему уязвимости Java являются одной из самых больших дыр в безопасности на вашем компьютере?


    Окончательный обратный отсчет для NPAPI

    В сентябре прошлого года мы объявили о нашем намерении удалить поддержку NPAPI из Chrome, что позволит улучшить безопасность, скорость и стабильность Chrome, а также уменьшить сложность базы кода.

    Источник Окончательный обратный отсчет для NPAPI


    Прощание с нашим старым другом NPAPI

    Архитектура эпохи NPAPI 90-х годов стала основной причиной зависаний, аварий, инцидентов безопасности и сложности кода. Из-за этого Chrome будет постепенно отказываться от поддержки NPAPI в течение следующего года. Мы чувствуем, что Интернет готов к этому переходу. NPAPI не поддерживается на мобильных устройствах, и Mozilla планирует делать все плагины, за исключением текущей версии Flash для воспроизведения по умолчанию.

    Источник, прощаясь с нашим старым другом NPAPI

    Как объяснил Google , API-интерфейс Netscape Plug-in API (NPAPI) был необходим в первые дни веб-браузеров для расширения своих возможностей. К сожалению, он предоставил доступ к базовой машине. Таким образом, если плагин содержал уязвимость и злоумышленник ее использовал, злоумышленник обошел песочницу браузера и имел доступ к машине.

    Такие векторы нападений в прошлом активно использовались для заражения компьютеров, что привело к совету, говорящему о том, что вы должны отключить Java в своем браузере. Многие функции, предоставляемые плагинами Java, теперь включены самим браузером (например, HTML5) с лучшей производительностью и безопасностью или с расширениями, запущенными в песочнице (например, NaCL ). Вот почему было принято решение о том, что больше не поддерживаются плагины Java: высокий риск, но в этом нет никакой реальной необходимости.

    В течение долгого времени в Интернете ушел от Java, а также другие плагины, такие как Flash или Silverlight, в Интернете. Одна из целей HTML5 заключалась в создании фреймворка, где плагины не нужны (следовательно, такие теги, как <audio> и <video> ). К настоящему времени единственной причиной поддержки Java является совместимость с унаследованными системами, которые, вероятно, должны были быть удалены к настоящему времени.

    Итак, почему плагины, подобные Java, представляют угрозу безопасности? Потому что история доказала, что всегда будет постоянный поток дыр в безопасности, позволяющий использовать множество эксплойтов. По сути, сложнее защитить виртуальную машину с использованием байт-кода Java, чем для песочницы, интерпретируемого языка сценариев, такого как JavaScript. Просто взгляните на эти статистические данные .

    Как вы говорите, это хорошая практика для обновления ваших плагинов. Но этого недостаточно. Во-первых, многие люди этого не делают. Недавно было обнаружено, что даже шведский эквивалент NSA использует устаревшие плагины Java с известными уязвимостями безопасности. Если они не могут понять это, вы ожидаете, что средний домашний пользователь сделает это? Во-вторых, вы не можете защитить себя от нулевых дней. Независимо от того, насколько быстро Oracle производит исправления, вы рискуете.

    Даже Oracle признали, что эра Java-апплетов завершена. От Ars Technica (январь 2016 года):

    Довольно зловещий плагин для браузера Java, источник стольких недостатков безопасности на протяжении многих лет, должен быть уничтожен Oracle. Это не будет оплакивать.

    Oracle, которая приобрела Java в рамках покупки Sun Microsystems в 2010 году, объявила, что плагин будет устаревшим в следующей версии Java, версия 9, которая в настоящее время доступна как бета-версия раннего доступа. Будущий выпуск полностью удалит его.

    Давайте будем гением компьютера.