Perché il plug-in Java (JRE) è disabilitato in Chrome?

40

Perché il plugin Java (JRE) è disabilitato in Chrome? È un problema di sicurezza?

Dal sito Web ufficiale di Java:

Chrome non supporta più NPAPI (tecnologia richiesta per le applet Java) Il plug-in Java per i browser Web si basa sull'architettura NPAPI del plug-in multipiattaforma, che è stata supportata da tutti i principali browser Web per oltre un decennio. La versione 45 di Google Chrome (prevista per il rilascio a settembre 2015) elimina il supporto per NPAPI, influenzando i plug-in per Silverlight, Java, Facebook Video e altri plug-in basati su NPAPI simili.

Ma qualcuno sa perché? Come potrebbe essere pericoloso per l'utente di Chrome con l'ultima versione di Java JRE installata?

google-chrome  java 
Michał Kuliński
fonte
1
Quando pubblichi preventivi, includi un link alla fonte in futuro.
8
Hai risposto alla tua domanda: poiché il plug-in Java utilizza NPAPI e Chrome non lo supporta più.
gronostaj,
7
Anche se la ragione ufficiale suona bene, il mio sospetto personale è che la ricaduta tra Google e Oracle su Android ha avuto molto più a che fare con ciò di quanto chiunque voglia ammettere.
Devsman,
2
Perché Java disabilitato? in primo luogo "perché Flash e Java sono abilitati?" A meno che non mi fidi davvero di un sito, disabilito anche Javascript (bene, in realtà ho una scorciatoia desktop per il browser senza Javascript)
GameDeveloper
1
@Devsman Se fosse solo Java, il tuo argomento potrebbe essere plausibile, ma Google sta cercando tutti i plugin (e così anche Mozilla). Silverlight, Acrobat Reader, onde d'urto, unità, quicktime, giocatore reale, ecc. Sono stati tutti colpiti dallo stesso martello di divieto. Sono stati tutti ampiamente installati e almeno occasionalmente utilizzati da un gran numero di persone nel corso degli anni. Tutte le cose fornite che non potevano essere fatte nel browser direttamente 5-20 anni fa; ma che sono fattibili dai browser intrinseci o HTML5 direttamente in questi giorni ...
Dan Neely,

Risposte:

59

Perché Java è disabilitato in Chrome? È un problema di sicurezza?

I motivi che spingono alla disabilitazione di NPAPI, e quindi di Java, includono quanto segue secondo il Blog Chromium:

  • Maggiore sicurezza
  • Maggiore velocità
  • Maggiore stabilità
  • Riduzione della complessità del codice
  • Riduzione degli arresti anomali
  • Riduzione delle interruzioni
  • Mancanza di supporto per dispositivi mobili

Nota:

  • Firefox sta inoltre abbandonando il supporto per NPAPI - Vedi Plugin NPAPI in Firefox :

    I plug-in sono fonte di problemi di prestazioni, arresti anomali e incidenti di sicurezza per gli utenti Web.

    Mozilla intende rimuovere il supporto per la maggior parte dei plugin NPAPI in Firefox entro la fine del 2016.

Come potrebbe essere pericoloso per gli utenti di Chrome con l'ultima versione di Java JRE installata?

Risposta breve: Zero Day Exploits.

Un'altra fonte di vulnerabilità è il fatto che Java non ha rilasciato un aggiornamento automatico che non richiede l'intervento dell'utente e diritti amministrativi. Ad esempio, Google Chrome e Flash Player hanno. Questa funzione consente agli utenti di ottenere aggiornamenti automatici senza che sia richiesto di agire, rendendo gli aggiornamenti più facili.

A causa della mancanza di un sistema di aggiornamenti automatici, molti utenti ignorano gli aggiornamenti Java e perfino temono di installarli, a causa del malware che ha utilizzato gli aggiornamenti Java come vettore di infezione in passato o esperienze simili.

Sappi solo che tutte queste vulnerabilità sono ciò su cui prosperano i cyber criminali.

...

I dati estratti dal nostro database confermano che Java è la seconda più grande vulnerabilità di sicurezza che richiede patch costanti, dopo il plug-in Adobe Flash.

Solo nel 2015, abbiamo già distribuito 105925 patch per Java Runtime Environment per i nostri clienti.

inserisci qui la descrizione dell'immagine

Leggi il resto dell'articolo per una spiegazione e un commento dettagliati.

Fonte Perché le vulnerabilità di Java sono uno dei maggiori buchi di sicurezza sul tuo computer?

Il conto alla rovescia finale per NPAPI

Lo scorso settembre abbiamo annunciato il nostro piano per rimuovere il supporto NPAPI da Chrome, una modifica che migliorerà la sicurezza, la velocità e la stabilità di Chrome e ridurrà la complessità della base di codice.

Fonte Il conto alla rovescia finale per NPAPI

Salutare il nostro vecchio amico NPAPI

L'architettura NPAPI degli anni '90 è diventata una delle principali cause di blocchi, arresti anomali, incidenti di sicurezza e complessità del codice. Per questo motivo, Chrome eliminerà gradualmente il supporto NPAPI nel corso del prossimo anno. Riteniamo che il Web sia pronto per questa transizione. NPAPI non è supportato sui dispositivi mobili e Mozilla prevede di creare tutti i plug-in ad eccezione della versione corrente di Flash click-to-play per impostazione predefinita.

Fonte dicendo addio al nostro vecchio amico NPAPI

DavidPostill
fonte
47
L' installer Java stesso è un vettore anche per crapware. L'aggiornamento quotidiano della sicurezza Java richiede di scorrere tutte le pagine del programma di installazione per assicurarsi che Oracle non sia stato raggruppato in un nuovo pacchetto MacAffee.
2
@JS. Forse mi manca qualcosa, ma personalmente non ho mai visto il programma di installazione di Java offrire di installare nient'altro oltre a Java. Vero motivo per cui Google disabilita Java? Google non vuole che gli sviluppatori scrivano software per nient'altro che ciò su cui hanno il controllo.
Malcolm,
14
@Malcom: dai un'altra occhiata. java.com spiega come disabilitare le offerte degli sponsor; pertanto, stanno includendo le offerte degli sponsor che le persone desiderano disabilitare. java.com/en/download/faq/disable_offers.xml
Ross Presser,
3
@RossPresser se scarichi da Oracle non ottieni le offerte degli sponsor.
DavidPostill
7
@Malcolm dal 2011-2015 il programma di installazione Java ufficiale di Oracle ha incluso questo: java.com/ga/images/en/ask_offer.jpg
hobbs
4

Come spiegato da Google , l'API plug-in Netscape (NPAPI) era necessaria all'inizio dei browser Web per estendere le loro funzionalità. Sfortunatamente, ha fornito l'accesso alla macchina sottostante. Pertanto, se il plug-in conteneva una vulnerabilità e un utente malintenzionato la sfruttava, l'utente malintenzionato aggirava il sandboxing del browser e aveva accesso al computer.

Tali vettori di attacco sono stati pesantemente utilizzati in passato per infettare le macchine, portando al consiglio dicendo che dovresti disabilitare Java sul tuo browser. Molte funzionalità fornite dai plugin Java sono ora incluse dal browser stesso (ad es. HTML5) con prestazioni e sicurezza migliori o con estensioni in esecuzione in un sandbox (ad es. NaCL ). Ecco perché è stata presa la decisione di non supportare più i plugin Java: alto rischio, ma non è assolutamente necessario.

Ronny
fonte
2

Per molto tempo c'è stato un allontanamento da Java, insieme ad altri plugin come Flash o Silverlight, sul web. Uno degli obiettivi con HTML5 era quello di creare un framework in cui non fossero necessari plug-in (quindi tag come <audio>e <video>). Ormai l'unica ragione per supportare Java è la compatibilità con i sistemi legacy che probabilmente avrebbero dovuto essere ritirati comunque.

Quindi perché plugin come Java sono una minaccia alla sicurezza? Perché la storia ha dimostrato che ci sarà sempre un flusso costante di falle nella sicurezza che consentirà una moltitudine di exploit. È intrinsecamente più difficile proteggere una VM che esegue il bytecode Java piuttosto che eseguire il sandbox di un linguaggio di script interpretato come JavaScript. Dai un'occhiata a queste statistiche .

Come dici tu, è una buona pratica mantenere aggiornati i tuoi plugin. Ma questo non è abbastanza. Innanzitutto, molte persone no. È stato recentemente rivelato che anche l'equivalente svedese dell'NSA stava eseguendo plug-in Java obsoleti con vulnerabilità di sicurezza note. Se non riescono a farlo bene, ti aspetti che l'utente domestico medio lo faccia? Secondo, non c'è modo di proteggerti da zero giorni. Non importa quanto velocemente Oracle produca le patch, sarai a rischio.

Anche Oracle ha riconosciuto che l'era delle applet Java è finita. Da Ars Technica (gennaio 2016):

Oracle, il plugin per browser Java molto diffamato, fonte di così tanti difetti di sicurezza nel corso degli anni. Non sarà pianto.

Oracle, che ha acquisito Java come parte dell'acquisto del 2010 di Sun Microsystems, ha annunciato che il plug-in sarà deprecato nella prossima versione di Java, versione 9, che è attualmente disponibile come beta di accesso anticipato. Una versione futura lo rimuoverà completamente.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.