為什麼 Java 外掛程式 (JRE) 在 Chrome 中被停用？

為什麼 Chrome 中禁用了 Java？這是一些安全問題嗎？

根據 Chromium 博客，促使禁用 NPAPI 以及 Java 的原因包括以下幾點：

• 提高安全性
• 速度提高
• 增加穩定性
• 降低程式碼複雜性
• 減少碰撞事故
• 減少掛起
• 缺乏對行動裝置的支持

筆記：

• Firefox 也放棄了對 NPAPI 的支援 - 請參閱Firefox 中的 NPAPI 插件：

  插件是 Web 使用者效能問題、崩潰和安全事件的根源。

  Mozilla 打算在 2016 年底前取消對 Firefox 中大多數 NPAPI 外掛程式的支援。

---

對於安裝了最新版本 Java JRE 的 Chrome 用戶來說，這會帶來什麼危險？

簡短回答：零日漏洞。

漏洞的另一個來源是 Java 尚未發布不需要使用者乾預和管理權限的自動更新程式。例如，Google Chrome 和 Flash Player 都有。此功能允許使用者獲得自動更新，而無需提示採取操作，從而使更新變得更加容易。

由於缺乏自動更新系統，許多用戶忽略 Java 更新，甚至害怕安裝它們，因為過去曾使用 Java 更新作為感染媒介的惡意軟體或類似的經歷。

只要知道所有這些漏洞都是網路犯罪分子賴以生存的基礎。

…

從我們自己的資料庫中提取的資料證實，Java 是繼 Adob​​e Flash 插件之後需要不斷修補的第二大安全漏洞。

光是在 2015 年，我們就已經為客戶部署了 105925 個 Java 執行時期環境修補程式。

請閱讀本文的其餘部分以獲取詳細的解釋和評論。

來源為什麼 Java 的漏洞是電腦上最大的安全漏洞之一？

---

NPAPI 的最後倒數計時

去年 9 月，我們宣布計劃從 Chrome 中刪除 NPAPI 支持，這項變更將提高 Chrome 的安全性、速度和穩定性，並降低程式碼庫的複雜性。

來源NPAPI 的最後倒數計時

---

告別我們的老朋友 NPAPI

NPAPI 的 90 年代架構已成為導致掛起、崩潰、安全事件和程式碼複雜性的主要原因。因此，Chrome 將在明年逐步取消 NPAPI 支援。我們認為網路已經為這一轉變做好了準備。行動裝置不支援 NPAPI，Mozilla 計畫預設製作除目前版本的 Flash 點擊播放之外的所有外掛程式。

來源告別我們的老朋友 NPAPI

作為谷歌解釋，網頁瀏覽器的早期需要 Netscape 外掛程式 API (NPAPI) 來擴充其功能。不幸的是，它提供了對底層機器的存取。因此，如果插件包含漏洞並且攻擊者利用了該漏洞，則攻擊者可以繞過瀏覽器的沙箱並存取電腦。

過去，此類攻擊媒介已被大量用於感染機器，因此建議您應該在瀏覽器上停用 Java。 Java 外掛程式提供的許多功能現在都包含在瀏覽器本身（例如 HTML5）中，具有更好的效能和安全性，或在沙箱中執行擴充功能（例如氯化鈉）。這就是我們決定不再支援 Java 外掛的原因：風險很高，但其實沒有必要。

很長一段時間以來，網路上一直在遠離 Java 以及 Flash 或 Silverlight 等其他外掛程式。 HTML5 的目標之一是創建一個不需要插件的框架（因此有像<audio>和 之類的標籤<video>）。到目前為止，支援 Java 的唯一原因是為了與遺留系統相容，無論如何，這些系統現在可能已經退役了。

那為什麼像 Java 這樣的外掛程式會構成安全威脅呢？因為歷史已經證明，總是會存在源源不絕的安全漏洞，允許多種漏洞利用。本質上，保護運行 Java 字節碼的虛擬機器比對 JavaScript 等解釋性腳本語言進行沙箱保護更加困難。看看吧這些統計數據。

正如您所說，保持插件更新是一個很好的做法。但這還不夠。首先，很多人不這麼做。最近有消息稱，即使是瑞典的 NSA 也在運行具有已知安全漏洞的過時 Java 外掛程式。如果他們無法做到這一點，您是否期望普通家庭用戶能夠做到這一點？其次，您無法保護自己免受零時差攻擊。無論 Oracle 產生補丁的速度有多快，您都將面臨風險。

甚至 Oracle 也承認 Java applet 的時代已經結束。從技術藝術（2016 年 1 月）：

這個飽受詬病的 Java 瀏覽器外掛是多年來許多安全缺陷的根源，將被 Oracle 淘汰。它不會被哀悼。

Oracle 在 2010 年收購 Sun Microsystems 時收購了 Java，宣告該外掛程式將在 Java 的下一個版本（版本 9）中被棄用，該版本目前作為早期訪問測試版提供。未來的版本將完全刪除它。