%20%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%20%D0%B2%20Chrome%3F.png)
Почему плагин Java (JRE) отключен в Chrome? Это проблема безопасности?
С официального сайта Java:
Chrome больше не поддерживает NPAPI (технологию, необходимую для апплетов Java). Плагин Java для веб-браузеров использует кроссплатформенную архитектуру плагинов NPAPI, которая поддерживается всеми основными веб-браузерами уже более десятилетия. В версии Chrome 45 от Google (выпуск запланирован на сентябрь 2015 года) прекращается поддержка NPAPI, что влияет на плагины для Silverlight, Java, Facebook Video и другие аналогичные плагины на основе NPAPI.
Но кто-нибудь знает почему? Чем это может быть опасно для пользователя Chrome с установленной последней версией Java JRE?
решение1
Почему Java отключена в Chrome? Это проблема безопасности?
По данным блога Chromium, причинами, побудившими отключить NPAPI и, следовательно, Java, являются следующие:
- Повышенная безопасность
- Увеличенная скорость
- Повышенная устойчивость
- Уменьшение сложности кода
- Сокращение количества аварий
- Сокращение зависаний
- Отсутствие поддержки мобильных устройств
Примечание:
Firefox также прекращает поддержку NPAPI — см.Плагины NPAPI в Firefox:
Плагины являются источником проблем с производительностью, сбоев и инцидентов безопасности для веб-пользователей.
Mozilla намерена прекратить поддержку большинства плагинов NPAPI в Firefox к концу 2016 года.
Чем это может быть опасно для пользователей Chrome с установленной последней версией Java JRE?
Короткий ответ: эксплойты нулевого дня.
Другим источником уязвимостей является тот факт, что Java не выпустила автоматический апдейтер, который не требует вмешательства пользователя и прав администратора. Например, Google Chrome и Flash Player имеют. Эта функция позволяет пользователям получать автоматические обновления без необходимости предпринимать какие-либо действия, что упрощает обновление.
Из-за отсутствия системы автоматических обновлений многие пользователи игнорируют обновления Java и даже боятся их устанавливать из-за вредоносных программ, которые в прошлом использовали обновления Java в качестве вектора заражения, или из-за подобных случаев.
Просто знайте, что все эти уязвимости — то, на чем процветают киберпреступники.
...
Данные, извлеченные из нашей собственной базы данных, подтверждают, что Java является второй по величине уязвимостью безопасности, требующей постоянного исправления, после плагина Adobe Flash.
Только в 2015 году мы уже развернули 105925 исправлений для Java Runtime Environment для наших клиентов.
Подробное объяснение и комментарии читайте в оставшейся части статьи.
ИсточникПочему уязвимости Java являются одной из самых больших дыр в безопасности вашего компьютера?
Последний отсчет для NPAPI
В сентябре прошлого года мы объявили о наших планах по удалению поддержки NPAPI из Chrome. Это изменение повысит безопасность, скорость и стабильность Chrome, а также снизит сложность кодовой базы.
ИсточникПоследний отсчет для NPAPI
Прощаемся с нашим старым другом NPAPI
Архитектура NPAPI 90-х годов стала основной причиной зависаний, сбоев, инцидентов безопасности и сложности кода. Из-за этого Chrome постепенно прекратит поддержку NPAPI в течение следующего года. Мы считаем, что Интернет готов к этому переходу. NPAPI не поддерживается на мобильных устройствах, и Mozilla планирует сделать все плагины, кроме текущей версии Flash, click-to-play по умолчанию.
решение2
Какобъяснено Google, Netscape Plug-in API (NPAPI) был необходим на заре веб-браузеров для расширения их возможностей. К сожалению, он предоставлял доступ к базовой машине. Таким образом, если плагин содержал уязвимость и злоумышленник ею пользовался, злоумышленник обходил песочницу браузера и получал доступ к машине.
Подобные векторы атак активно использовались в прошлом для заражения машин, что привело к совету отключить Java в вашем браузере. Многие функции, предоставляемые плагинами Java, теперь включены в сам браузер (например, HTML5) с лучшей производительностью и безопасностью или с расширениями, работающими в песочнице (например,NaCL). Вот почему было принято решение больше не поддерживать плагины Java: высокий риск, но реальной необходимости в этом нет.
решение3
Долгое время в Интернете наблюдался отход от Java, а также других плагинов, таких как Flash или Silverlight. Одной из целей HTML5 было создание фреймворка, в котором плагины не нужны (отсюда и теги вроде <audio>и <video>). На данный момент единственной причиной поддержки Java является совместимость с устаревшими системами, которые, вероятно, уже должны были быть удалены.
Так почему же плагины вроде Java представляют угрозу безопасности? Потому что история доказала, что всегда будет постоянный поток уязвимостей безопасности, позволяющих использовать множество эксплойтов. Просто изначально сложнее защитить виртуальную машину, работающую с байт-кодом Java, чем изолировать интерпретируемый язык сценариев, такой как JavaScript. Просто взгляните наэти статистические данные.
Как вы говорите, обновлять плагины — это хорошая практика. Но этого недостаточно. Во-первых, многие этого не делают. Недавно выяснилось, что даже шведский эквивалент АНБ запускал устаревшие плагины Java с известными уязвимостями безопасности. Если они не могут сделать это правильно, вы ожидаете, что среднестатистический домашний пользователь будет это делать? Во-вторых, нет способа защитить себя от нулевых дней. Независимо от того, как быстро Oracle выпускает исправления, вы будете в опасности.
Даже Oracle признала, что эра Java-апплетов закончилась.Ars Technica(январь 2016 г.):
Oracle собирается уничтожить этот критикуемый плагин для браузера Java, который на протяжении многих лет был источником множества уязвимостей безопасности. Его не будут оплакивать.
Oracle, которая приобрела Java в рамках покупки Sun Microsystems в 2010 году,объявилчто плагин будет устарел в следующем выпуске Java, версии 9, которая в настоящее время доступна как ранняя бета-версия. Будущий выпуск полностью его удалит.