Dlaczego wtyczka Java (JRE) jest wyłączona w Chrome?

40

Dlaczego wtyczka Java (JRE) jest wyłączona w Chrome? Czy to jakieś obawy dotyczące bezpieczeństwa?

Z oficjalnej strony Java:

Chrome nie obsługuje już NPAPI (technologia wymagana dla apletów Java) Wtyczka Java do przeglądarek internetowych opiera się na wieloplatformowej architekturze wtyczek NPAPI, która jest obsługiwana przez wszystkie główne przeglądarki internetowe od ponad dekady. Google Chrome w wersji 45 (planowane wydanie we wrześniu 2015 r.) Rezygnuje z obsługi NPAPI, wpływając na wtyczki dla Silverlight, Java, Facebook Video i innych podobnych wtyczek opartych na NPAPI.

Ale ktoś wie dlaczego? Jak może być niebezpieczny dla użytkownika Chrome z zainstalowaną najnowszą wersją Java JRE?

google-chrome java Michał Kuliński
źródło
1
Publikując oferty, dołącz link do źródła w przyszłości.
8
Odpowiedziałeś na swoje pytanie: ponieważ wtyczka Java korzysta z NPAPI, a Chrome już go nie obsługuje.
gronostaj
7
Chociaż oficjalny powód brzmi dobrze, osobiście podejrzewam, że opór między Google a Oracle na Androidzie miał o wiele więcej wspólnego z tym, niż ktokolwiek chce przyznać.
Devsman
2
Dlaczego Java jest wyłączona? po pierwsze „dlaczego Flash i Java są włączone?” O ile nie ufam naprawdę stronie, nawet wyłączę Javascript (no cóż, w rzeczywistości mam skrót do przeglądarki bez Javascript)
GameDeveloper
1
@Devsman Jeśli to była tylko Java, twój argument może być wiarygodny, ale Google szuka wszystkich wtyczek (podobnie jak Mozilla). Silverlight, Acrobat Reader, fala uderzeniowa, jedność, szybki czas, prawdziwy gracz itp. Zostały trafione przez ten sam młot banowy. Wszystkie były szeroko instalowane i przynajmniej od czasu do czasu używane przez dużą liczbę ludzi na przestrzeni lat. Wszystkie zawierały rzeczy, których nie można było zrobić bezpośrednio w przeglądarce 5–20 lat temu; ale które w dzisiejszych czasach są możliwe do wykonania bezpośrednio przez przeglądarkę lub HTML5 ...
Dan Neely

Odpowiedzi:

59

Dlaczego Java jest wyłączona w Chrome? Czy to jakieś obawy dotyczące bezpieczeństwa?

Powody powodujące wyłączenie NPAPI, a zatem i Javy, obejmują następujące, zgodnie z Chromium Blog:

  • Zwiększone bezpieczeństwo
  • Zwiększona prędkość
  • Zwiększona stabilność
  • Zmniejszenie złożoności kodu
  • Zmniejszenie liczby wypadków
  • Zmniejszenie liczby zawieszeń
  • Brak wsparcia dla urządzeń mobilnych

Uwaga:

  • Firefox porzuca także obsługę NPAPI - Zobacz Wtyczki NPAPI w Firefox :

    Wtyczki są źródłem problemów z wydajnością, awarii i incydentów bezpieczeństwa dla użytkowników sieci.

    Mozilla zamierza usunąć obsługę większości wtyczek NPAPI w Firefoksie do końca 2016 roku.

Jak może być niebezpieczny dla użytkowników Chrome z zainstalowaną najnowszą wersją Java JRE?

Krótka odpowiedź: Zero Day Exploits.

Innym źródłem luk w zabezpieczeniach jest fakt, że Java nie wydała automatycznego narzędzia aktualizującego, które nie wymaga interwencji użytkownika i uprawnień administracyjnych. Na przykład Google Chrome i Flash Player mają. Ta funkcja pozwala użytkownikom otrzymywać automatyczne aktualizacje bez monitowania o podjęcie działań, co ułatwia aktualizacje.

Z powodu braku systemu automatycznych aktualizacji wielu użytkowników ignoruje aktualizacje Java, a nawet obawia się ich instalacji, ze względu na złośliwe oprogramowanie, które używało aktualizacji Java jako wektora infekcji w przeszłości lub podobnych doświadczeń.

Po prostu wiedz, że wszystkie te podatności są tym, na czym dobrze radzą sobie cyberprzestępcy.

...

Dane wyodrębnione z naszej bazy danych potwierdzają, że Java jest drugą co do wielkości luką bezpieczeństwa, która wymaga ciągłego łatania, po wtyczce Adobe Flash.

Tylko w 2015 roku wdrożyliśmy już 105925 łatek dla środowiska Java Runtime Environment dla naszych klientów.

wprowadź opis zdjęcia tutaj

Przeczytaj resztę artykułu, aby uzyskać szczegółowe wyjaśnienia i komentarze.

Źródło Dlaczego luki w zabezpieczeniach Javy są jednymi z największych luk bezpieczeństwa na twoim komputerze?

Ostateczne odliczanie dla NPAPI

We wrześniu ubiegłego roku ogłosiliśmy nasz plan usunięcia obsługi NPAPI z Chrome, zmiany, które poprawią bezpieczeństwo, szybkość i stabilność Chrome, a także zmniejszą złożoność bazy kodu.

Źródło Ostateczne odliczanie dla NPAPI

Pożegnanie naszego starego przyjaciela NPAPI

Architektura NPAPI z lat 90. stała się główną przyczyną zawieszania się, awarii, incydentów bezpieczeństwa i złożoności kodu. Z tego powodu Chrome będzie wycofywać obsługę NPAPI w nadchodzącym roku. Uważamy, że sieć jest gotowa na to przejście. Interfejs NPAPI nie jest obsługiwany na urządzeniach mobilnych, a Mozilla planuje domyślnie tworzyć wszystkie wtyczki oprócz bieżącej wersji programu Flash „kliknij, aby odtworzyć”.

Źródło Pożegnanie z naszym starym przyjacielem NPAPI

DavidPostill
źródło
47
Sam instalator Java jest również wektorem dla crapware. Codzienna aktualizacja zabezpieczeń Java wymaga przeczesywania każdej strony instalatora, aby upewnić się, że Oracle nie ma w pakiecie nowej crapletu MacAffee.
2
@JS. Może czegoś mi brakuje, ale osobiście nigdy nie widziałem oferty instalatora Java, aby zainstalować coś innego niż Java. Prawdziwy powód, dla którego Google wyłącza Javę? Google nie chce, aby programiści pisali oprogramowanie do czegokolwiek innego niż to, nad czym mają kontrolę.
Malcolm,
14
@Malcom: spójrz ponownie. java.com informuje, jak wyłączyć oferty sponsorów; dlatego zawierają oferty sponsorów, które ludzie chcą wyłączyć. java.com/en/download/faq/disable_offers.xml
Ross Presser
3
@RossPresser, jeśli pobierasz z Oracle, nie otrzymujesz ofert sponsorów.
DavidPostill
7
@Malcolm z 2011-2015 oficjalny instalator Java firmy Oracle zawierał to: java.com/ga/images/en/ask_offer.jpg
hobbs
4

Jak wyjaśnia Google , interfejs API wtyczki Netscape (NPAPI) był potrzebny we wczesnych dniach przeglądarek internetowych, aby rozszerzyć ich funkcje. Niestety zapewnił dostęp do bazowej maszyny. Dlatego jeśli wtyczka zawierała lukę, a osoba atakująca ją wykorzystała, osoba atakująca ominęła piaskownicę przeglądarki i miała dostęp do komputera.

Takie wektory ataków były w przeszłości intensywnie wykorzystywane do infekowania maszyn, co doprowadziło do porady, że należy wyłączyć Javę w przeglądarce. Wiele funkcji udostępnianych przez wtyczki Java jest teraz włączanych przez samą przeglądarkę (np. HTML5) z lepszą wydajnością i bezpieczeństwem lub z rozszerzeniami działającymi w piaskownicy (np. NaCL ). Dlatego podjęto decyzję o nieobsługiwaniu wtyczek Java: wysokie ryzyko, ale nie ma takiej potrzeby.

Ronny
źródło
2

Od dłuższego czasu nastąpiło odejście od Javy wraz z innymi wtyczkami, takimi jak Flash czy Silverlight, w Internecie. Jednym z celów HTML5 było stworzenie frameworka, w którym wtyczki nie są potrzebne (stąd tagi jak <audio>i <video>). Do tej pory jedynym powodem do obsługi Javy jest kompatybilność ze starszymi systemami, które prawdopodobnie i tak powinny już zostać wycofane.

Dlaczego więc wtyczki takie jak Java stanowią zagrożenie bezpieczeństwa? Ponieważ historia udowodniła, że ​​zawsze będzie istniał ciągły dziur w zabezpieczeniach pozwalający na wiele exploitów. Po prostu trudniej jest zabezpieczyć maszynę wirtualną z kodem bajtowym Java niż piaskownica w interpretowanym języku skryptowym, takim jak JavaScript. Spójrz tylko na te statystyki .

Jak mówisz, dobrą praktyką jest aktualizowanie wtyczek. Ale to nie jest wystarczające. Po pierwsze, wiele osób tego nie robi. Niedawno ujawniono, że nawet szwedzki odpowiednik NSA uruchomił przestarzałe wtyczki Java ze znanymi lukami bezpieczeństwa. Jeśli nie potrafią tego zrobić poprawnie, czy oczekujesz, że zrobi to przeciętny użytkownik domowy? Po drugie, nie ma sposobu, aby uchronić się przed zerowymi dniami. Bez względu na to, jak szybko Oracle produkuje łatki, będziesz narażony na ryzyko.

Nawet Oracle przyznało, że era apletów Java dobiegła końca. Od Ars Technica (styczeń 2016):

Źle zepsuta wtyczka do przeglądarki Java, która przez lata była źródłem wielu luk w zabezpieczeniach, zostanie zabita przez Oracle. Nie będzie opłakiwany.

Oracle, która nabyła Javę w ramach zakupu Sun Microsystems w 2010 r., Ogłosiła, że wtyczka będzie przestarzała w następnej wersji Java, wersja 9, która jest obecnie dostępna jako beta wczesnego dostępu. Przyszłe wydanie całkowicie ją usunie.


źródło