Почему плагин Java (JRE) отключен в Chrome?

Почему плагин Java (JRE) отключен в Chrome? Это какая-то проблема безопасности?

с официального сайта Java:

Chrome больше не поддерживает NPAPI (технология, необходимая для Java-апплетов)
Плагин Java для веб-браузеров полагается на межплатформенную архитектуру плагина NPAPI,
который поддерживается всеми основными веб-браузерами уже более десяти лет.
Google Chrome версии 45 (планируется выпустить в сентябре 2015 года) падает поддержка
для NPAPI,
влияющие плагины для Silverlight, Java, Facebook видео
и другие подобные NPAPI Плагины.

но кто-нибудь знает почему? Как это может быть опасно для пользователя Chrome с последней версией Java JRE?

9
задан DavidPostill
29.04.2023 12:02 Количество просмотров материала 3048
Распечатать страницу

3 ответа

Почему Java отключена в Chrome? Это какая-то проблема безопасности?

причин, побудивших к отключению NPAPI В, и поэтому Ява, следующие по блогу хрома:

  • повышенная безопасность
  • увеличение скорости
  • повышенная стабильность
  • снижение сложности кода
  • снижение аварий
  • уменьшение зависаний
  • отсутствие поддержки мобильных устройства

Примечание:

  • Firefox также прекращает поддержку NPAPI-см. NPAPI плагины в Firefox:

    Плагины являются источником проблем с производительностью, сбоев и инцидентов безопасности для веб-пользователей.

    Mozilla намерена удалить поддержку большинства NPAPI плагинов в Firefox к концу 2016 года.


Как это может быть опасно для Chrome пользователи с последней версией Java JRE установлен?

короткий ответ: нулевой день подвиги.

другим источником уязвимостей является тот факт, что Java не выпустила автоматическое обновление, которое не требует вмешательства пользователя и административных прав. Например, Google Chrome и Flash Player. Эта функция позволяет пользователям получать автоматические обновления без запроса на выполнение действий, что упрощает процесс обновления.

из-за отсутствия автоматической система обновлений, многие пользователи игнорируют Java обновления и даже страх их установки, из-за вредоносных программ, которые используются Обновления Java как вектор инфекции в прошлом или аналогичный опыты.

просто знаю, что все эти уязвимости, что кибер-преступники процветайте.

...

данные, извлеченные из нашей собственной базы данных, подтверждают, что Java является вторым самая большая уязвимость безопасности, которая требует постоянного исправления, после Компании Adobe подключаемый модуль Flash.

только в 2015 году мы уже развернули 105925 исправлений для среды выполнения Java Условия для наших клиентов.

enter image description here

прочитайте остальную часть статьи для подробного объяснения и комментария.

Source почему уязвимости Java являются одной из самых больших дыр в безопасности Вашего компьютера?


последний отсчет времени NPAPI

в сентябре прошлого года мы объявили о нашем плане, чтобы удалить поддержку NPAPI от Chrome, изменение, которое улучшит безопасность Chrome, скорость и стабильность, а также уменьшить сложность в базе кода.

Source окончательный отсчет NPAPI


прощаемся с нашим старым другом NPAPI

архитектура 90-х годов NPAPI стала ведущей причиной зависаний, сбои, безопасность инциденты и сложность кода. Поэтому, Chrome будет постепенно прекращать поддержку NPAPI в течение следующего года. Мы чувствуем интернет готов к этому переходу. NPAPI не поддерживается на мобильных устройствах устройств, и планы Mozilla и сделает все плагины, за исключением текущих версия Flash click-to-play по умолчанию.

Source прощаемся с нашим старым другом NPAPI

60
отвечен DavidPostill 2023-04-30 19:50

As объяснил Google, API подключаемых модулей Netscape (NPAPI) был необходим в первые дни веб-браузеров для расширения их возможностей. К сожалению, он предоставил доступ к базовой машине. Таким образом, если плагин содержал уязвимость и злоумышленник воспользовался ею, злоумышленник обошел песочницу браузера и имел доступ к машине.

такие векторы атаки широко использовались в прошлом для заражения машин, что привело к советам, говорящим, что вы должны отключить Java в вашем браузере. Многие функции, предоставляемые плагинами Java, теперь включены самим браузером (например, HTML5) с лучшей производительностью и безопасностью или с расширениями, работающими в песочнице (например,NaCL). Вот почему было принято решение больше не поддерживать Плагины Java: высокий риск, но нет реальной необходимости в этом.

4
отвечен Ronny 2023-04-30 22:07

в течение длительного времени был переход от Java, наряду с другими плагинами, такими как Flash или Silverlight, в интернете. Одной из целей HTML5 было создание фреймворка, где плагины не нужны (отсюда и теги типа <audio> и <video>). К настоящему времени единственная причина для поддержки Java заключается в совместимости с устаревшими системами, которые, вероятно, должны были быть удалены к настоящему времени в любом случае.

Так почему плагины, такие как Java, представляют угрозу безопасности? Потому что история доказала, что всегда быть устойчивый поток дыр в безопасности позволяет множество эксплойтов. Просто по своей сути сложнее обеспечить безопасность виртуальной машины с байт-кодом Java, чем изолировать интерпретируемый язык сценариев, такой как JavaScript. Просто взгляните на эта статистика.

Как вы говорите, это хорошая практика, чтобы сохранить ваши плагины обновлены. Но этого недостаточно. Во-первых, многие люди этого не делают. Недавно выяснилось, что даже шведский эквивалент NSA работает на устаревшей Java подключаемые модули с известными уязвимостями безопасности. Если они не могут сделать это правильно, ожидаете ли вы, что средний домашний пользователь сделает это? Во-вторых, вы не сможете защитить себя от нулевых дней. Независимо от того, как быстро Oracle производит патчи, вы будете в опасности.

даже Oracle признал, что эра Java-апплетов закончилась. От Ars Technica (янв. 2016):

много клеветы плагин для браузера Java, источник так много недостатков безопасности на протяжении многих лет, будет убит системой Oracle. Она не будет оплакиваться.

Oracle, которая приобрела Java в рамках покупки Sun Microsystems в 2010 году, имеет объявил что плагин будет устаревшим в следующей версии Java, версия 9, которая в настоящее время доступна в качестве бета-версии раннего доступа. Будущий выпуск удалит его полностью.

2
отвечен 2023-05-01 00:24

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх