%20est%C3%A1%20desabilitado%20no%20Chrome%3F.png)
Por que o plugin Java (JRE) está desabilitado no Chrome? É alguma preocupação de segurança?
Do site oficial do Java:
O Chrome não oferece mais suporte a NPAPI (tecnologia necessária para miniaplicativos Java). O plug-in Java para navegadores da Web depende da arquitetura de plug-in de plataforma cruzada NPAPI, que é compatível com todos os principais navegadores da Web há mais de uma década. A versão 45 do Google Chrome (com lançamento previsto para setembro de 2015) elimina o suporte para NPAPI, impactando plug-ins para Silverlight, Java, Facebook Video e outros plug-ins semelhantes baseados em NPAPI.
Mas alguém sabe por quê? Como isso pode ser perigoso para o usuário do Chrome com a versão mais recente do Java JRE instalada?
Responder1
Por que o Java está desativado no Chrome? É alguma preocupação de segurança?
Os motivos que levam à desativação do NPAPI e, portanto, do Java, incluem os seguintes, de acordo com o Chromium Blog:
- Maior segurança
- Maior velocidade
- Maior estabilidade
- Redução na complexidade do código
- Redução de acidentes
- Redução de travamentos
- Falta de suporte para dispositivos móveis
Observação:
O Firefox também está abandonando o suporte para NPAPI – VejaPlug-ins NPAPI no Firefox:
Plugins são uma fonte de problemas de desempenho, travamentos e incidentes de segurança para usuários da Web.
A Mozilla pretende remover o suporte para a maioria dos plugins NPAPI no Firefox até o final de 2016.
Como isso pode ser perigoso para usuários do Chrome com a versão mais recente do Java JRE instalada?
Resposta curta: explorações de dia zero.
Outra fonte de vulnerabilidades é o fato de Java não ter lançado um atualizador automático que não exija intervenção do usuário e direitos administrativos. Por exemplo, Google Chrome e Flash Player possuem. Esse recurso permite que os usuários obtenham atualizações automáticas sem serem solicitados a agir, facilitando as atualizações.
Por falta de um sistema de atualizações automáticas, muitos usuários ignoram as atualizações do Java e até temem instalá-las, por causa de malware que usou atualizações do Java como vetor de infecção no passado ou experiências semelhantes.
Saiba apenas que todas essas vulnerabilidades são o motivo pelo qual os criminosos cibernéticos prosperam.
...
Dados extraídos de nosso próprio banco de dados confirmam que Java é a segunda maior vulnerabilidade de segurança que requer patches constantes, depois do plugin Flash da Adobe.
Somente em 2015, já implantamos 105.925 patches para Java Runtime Environment para nossos clientes.
Leia o restante do artigo para obter uma explicação detalhada e comentários.
FontePor que as vulnerabilidades do Java são uma das maiores falhas de segurança no seu computador?
A contagem regressiva final para NPAPI
Em setembro passado, anunciamos nosso plano para remover o suporte a NPAPI do Chrome, uma mudança que melhorará a segurança, a velocidade e a estabilidade do Chrome, além de reduzir a complexidade da base de código.
FonteA contagem regressiva final para NPAPI
Dizendo adeus ao nosso velho amigo NPAPI
A arquitetura da década de 90 da NPAPI tornou-se uma das principais causas de travamentos, travamentos, incidentes de segurança e complexidade de código. Por causa disso, o Chrome eliminará gradualmente o suporte NPAPI no próximo ano. Sentimos que a web está pronta para esta transição. NPAPI não é compatível com dispositivos móveis, e a Mozilla planeja tornar todos os plug-ins, exceto a versão atual do Flash, click-to-play por padrão.
Responder2
Comoexplicado pelo Google, a Netscape Plug-in API (NPAPI) era necessária nos primeiros dias dos navegadores da web para estender seus recursos. Infelizmente, forneceu acesso à máquina subjacente. Assim, se o plugin contivesse uma vulnerabilidade e um invasor a explorasse, o invasor contornaria o sandbox do navegador e teria acesso à máquina.
Esses vetores de ataque foram muito usados no passado para infectar máquinas, levando ao conselho de que você deveria desabilitar o Java em seu navegador. Muitos recursos fornecidos pelos plugins Java agora são incluídos pelo próprio navegador (ex. HTML5) com melhor desempenho e segurança ou com extensões rodando em uma sandbox (ex.NaCL). É por isso que foi tomada a decisão de não oferecer mais suporte a plug-ins Java: alto risco, mas sem necessidade real.
Responder3
Há muito tempo que se afasta do Java, junto com outros plugins como Flash ou Silverlight, na web. Um dos objetivos do HTML5 era criar uma estrutura onde plug-ins não fossem necessários (daí tags como <audio>e <video>). Até agora, a única razão para oferecer suporte a Java é a compatibilidade com sistemas legados que provavelmente já deveriam ter sido retirados de qualquer maneira.
Então, por que plug-ins como Java são uma ameaça à segurança? Porque a história provou que sempre haverá um fluxo constante de falhas de segurança, permitindo uma infinidade de explorações. É inerentemente mais difícil proteger uma VM executando bytecode Java do que colocar em sandbox uma linguagem de script interpretada como JavaScript. Basta dar uma olhadaessas estatísticas.
Como você disse, é uma boa prática manter seus plugins atualizados. Mas isso não é suficiente. Primeiro, muitas pessoas não. Foi recentemente revelado que até mesmo o equivalente sueco da NSA estava executando plug-ins Java desatualizados com vulnerabilidades de segurança conhecidas. Se eles não conseguirem acertar, você espera que o usuário doméstico médio o faça? Em segundo lugar, não há como se proteger do dia zero. Não importa quão rápido a Oracle produza patches, você estará em risco.
Até a Oracle reconheceu que a era dos miniaplicativos Java acabou. DeArs Técnica(janeiro de 2016):
O tão difamado plugin de navegador Java, fonte de tantas falhas de segurança ao longo dos anos, será eliminado pela Oracle. Não será lamentado.
A Oracle, que adquiriu o Java como parte da compra da Sun Microsystems em 2010,anunciadoque o plug-in será descontinuado na próxima versão do Java, versão 9, que está atualmente disponível como versão beta de acesso antecipado. Uma versão futura irá removê-lo completamente.