Warum ist das Java-Plugin (JRE) in Chrome deaktiviert?

Warum ist Java in Chrome deaktiviert? Es besteht ein Sicherheitsrisiko?

Zu den Gründen für die Deaktivierung von NPAPI und damit Java zählen laut dem Chromium-Blog unter anderem die folgenden:

• Erhöhte Sicherheit
• Erhöhte Geschwindigkeit
• Erhöhte Stabilität
• Reduzierung der Codekomplexität
• Reduzierung der Unfälle
• Reduzierung von Hängern
• Fehlende Unterstützung für Mobilgeräte

Notiz:

• Firefox stellt auch die Unterstützung für NPAPI ein - SieheNPAPI-Plugins in Firefox:

  Plugins sind für Webbenutzer eine Quelle von Leistungsproblemen, Abstürzen und Sicherheitsvorfällen.

  Mozilla beabsichtigt, die Unterstützung für die meisten NPAPI-Plugins in Firefox bis Ende 2016 zu entfernen.

---

Welche Gefahr könnte es für Chrome-Benutzer mit der neuesten installierten Version von Java JRE darstellen?

Kurze Antwort: Zero Day Exploits.

Eine weitere Quelle für Schwachstellen ist die Tatsache, dass Java kein automatisches Update-Programm veröffentlicht hat, das kein Eingreifen des Benutzers und keine Administratorrechte erfordert. Dies ist beispielsweise bei Google Chrome und Flash Player der Fall. Mit dieser Funktion können Benutzer automatische Updates erhalten, ohne zum Handeln aufgefordert zu werden, was die Aktualisierung vereinfacht.

Da es kein automatisches Update-System gibt, ignorieren viele Benutzer Java-Updates und haben sogar Angst, sie zu installieren. Der Grund dafür sind Schadsoftware, die Java-Updates in der Vergangenheit als Infektionsvektor verwendet hat, oder ähnliche Erfahrungen.

Sie müssen sich darüber im Klaren sein, dass Cyberkriminelle von all diesen Schwachstellen profitieren.

...

Aus unserer eigenen Datenbank extrahierte Daten bestätigen, dass Java nach dem Flash-Plug-in von Adobe die zweitgrößte Sicherheitslücke ist, die ständig gepatcht werden muss.

Allein im Jahr 2015 haben wir für unsere Kunden bereits 105.925 Patches für Java Runtime Environment bereitgestellt.

Lesen Sie den Rest des Artikels für eine ausführliche Erklärung und einen Kommentar.

QuelleWarum sind die Schwachstellen von Java eine der größten Sicherheitslücken auf Ihrem Computer?

---

Der letzte Countdown für NPAPI

Letzten September haben wir unseren Plan bekannt gegeben, die NPAPI-Unterstützung aus Chrome zu entfernen, eine Änderung, die die Sicherheit, Geschwindigkeit und Stabilität von Chrome verbessern sowie die Komplexität der Codebasis reduzieren wird.

QuelleDer letzte Countdown für NPAPI

---

Abschied von unserem alten Freund NPAPI

Die Architektur von NPAPI aus den 90er Jahren ist zu einer der Hauptursachen für Hänger, Abstürze, Sicherheitsvorfälle und Codekomplexität geworden. Aus diesem Grund wird Chrome die NPAPI-Unterstützung im Laufe des kommenden Jahres auslaufen lassen. Wir glauben, dass das Web für diesen Übergang bereit ist. NPAPI wird auf Mobilgeräten nicht unterstützt und Mozilla plant, alle Plug-Ins außer der aktuellen Version von Flash standardmäßig per Click-to-Play abzuspielen.

QuelleAbschied von unserem alten Freund NPAPI

Alserklärt von Google, die Netscape Plug-in API (NPAPI) wurde in den frühen Tagen der Webbrowser benötigt, um deren Funktionen zu erweitern. Leider ermöglichte sie den Zugriff auf die zugrunde liegende Maschine. Wenn das Plug-in also eine Schwachstelle enthielt und ein Angreifer diese ausnutzte, umging der Angreifer die Sandbox des Browsers und hatte Zugriff auf die Maschine.

Solche Angriffsmethoden wurden in der Vergangenheit häufig verwendet, um Rechner zu infizieren, was zu der Empfehlung führte, Java in Ihrem Browser zu deaktivieren. Viele Funktionen, die Java-Plugins bieten, werden jetzt vom Browser selbst bereitgestellt (z. B. HTML5) mit besserer Leistung und Sicherheit oder mit Erweiterungen, die in einer Sandbox ausgeführt werden (z. B.NaCL). Aus diesem Grund wurde die Entscheidung getroffen, Java-Plugins nicht mehr zu unterstützen: hohes Risiko, aber keine wirkliche Notwendigkeit dafür.

Seit langem gibt es im Web einen Trend weg von Java und anderen Plug-ins wie Flash oder Silverlight. Eines der Ziele von HTML5 war es, ein Framework zu erstellen, in dem keine Plug-ins erforderlich sind (daher Tags wie <audio>und <video>). Mittlerweile ist der einzige Grund, Java zu unterstützen, die Kompatibilität mit Legacy-Systemen, die wahrscheinlich ohnehin schon ausgemustert sein sollten.

Warum sind Plugins wie Java also eine Sicherheitsbedrohung? Weil die Geschichte gezeigt hat, dass es immer einen stetigen Strom von Sicherheitslücken geben wird, die eine Vielzahl von Exploits ermöglichen. Es ist einfach von Natur aus schwieriger, eine VM zu sichern, auf der Java-Bytecode läuft, als eine interpretierte Skriptsprache wie JavaScript in einer Sandbox auszuführen. Schauen Sie sich einfach an:diese Statistiken.

Wie Sie sagen, ist es eine gute Praxis, Ihre Plugins auf dem neuesten Stand zu halten. Aber das reicht nicht aus. Erstens tun das viele Leute nicht. Kürzlich wurde bekannt, dass sogar das schwedische Äquivalent der NSA veraltete Java-Plugins mit bekannten Sicherheitslücken verwendet. Wenn sie es nicht hinbekommen, erwarten Sie dann, dass der durchschnittliche Heimanwender es schafft? Zweitens gibt es keine Möglichkeit, sich vor Zero-Day-Angriffen zu schützen. Egal, wie schnell Oracle Patches bereitstellt, Sie sind gefährdet.

Sogar Oracle hat anerkannt, dass die Ära der Java-Applets vorbei ist.Ars Technica(Januar 2016):

Das vielgescholtene Java-Browser-Plugin, das über die Jahre hinweg für so viele Sicherheitsmängel verantwortlich war, soll von Oracle abgeschafft werden. Es wird nicht betrauert.

Oracle, das Java im Rahmen der Übernahme von Sun Microsystems im Jahr 2010 erworben hatte, hatangekündigtdass das Plugin in der nächsten Java-Version 9, die derzeit als Early Access Beta verfügbar ist, veraltet sein wird. In einer zukünftigen Version wird es vollständig entfernt.