Por que o plug-in Java (JRE) está desativado no Chrome?

40

Por que o plug-in Java (JRE) está desativado no Chrome? É alguma preocupação de segurança?

No site oficial do Java:

O Chrome não é mais compatível com NPAPI (tecnologia necessária para applets Java) O plug-in Java para navegadores da Web conta com a arquitetura NPAPI de plug-in de plataforma cruzada, que é suportada pelos principais navegadores da Web há mais de uma década. A versão 45 do Google Chrome (prevista para lançamento em setembro de 2015) descarta o suporte ao NPAPI, afetando plugins para Silverlight, Java, Facebook Video e outros plugins semelhantes baseados em NPAPI.

Mas alguém sabe o porquê? Como isso pode ser perigoso para o usuário do Chrome com a versão mais recente do Java JRE instalada?

google-chrome java Michał Kuliński
fonte
11
Ao publicar cotações, inclua um link para a fonte no futuro.
8
Você respondeu à sua pergunta: porque o plug-in Java usa NPAPI e o Chrome não é mais compatível.
22616 Gronostaj
7
Embora o motivo oficial pareça bom, minha suspeita pessoal é que as consequências entre o Google e a Oracle sobre o Android tinham muito mais a ver com isso do que alguém deseja admitir.
Devsman
2
Por que Java desativado? em primeiro lugar "por que Flash e Java estão ativados?" A menos que eu confio realmente muito um site I até mesmo desativar o Javascript (bem, na realidade, eu tenho uma pequena mesa de corte para o navegador sem Javascript)
GameDeveloper
11
@ Devsman Se fosse apenas Java, seu argumento pode ser plausível, mas o Google está atrás de todos os plugins (e o Mozilla também). O Silverlight, Acrobat Reader, ondas de choque, unidade, quicktime, reprodutor real etc. foram atingidos pelo mesmo golpe de proibição. Todos foram amplamente instalados e pelo menos ocasionalmente utilizados por um grande número de pessoas ao longo dos anos. Todos forneciam coisas que não podiam ser feitas diretamente no navegador de 5 a 20 anos atrás; mas que são ou factível por intrínsecos do navegador ou HTML5 diretamente nos dias de hoje ...
Dan Neely

Respostas:

59

Por que o Java está desativado no Chrome? É alguma preocupação de segurança?

Os motivos que motivaram a desativação da NPAPI e, portanto, do Java incluem o seguinte, de acordo com o Chromium Blog:

  • Maior segurança
  • Maior velocidade
  • Maior estabilidade
  • Redução na complexidade do código
  • Redução de acidentes
  • Redução de trava
  • Falta de suporte para dispositivos móveis

Nota:

  • O Firefox também está descartando o suporte ao NPAPI - Veja Plug-ins do NPAPI no Firefox :

    Os plug-ins são uma fonte de problemas de desempenho, falhas e incidentes de segurança para usuários da Web.

    A Mozilla pretende remover o suporte para a maioria dos plugins NPAPI no Firefox até o final de 2016.

Como isso pode ser perigoso para usuários do Chrome com a versão mais recente do Java JRE instalada?

Resposta curta: Zero Day Exploits.

Outra fonte de vulnerabilidades é o fato de o Java não ter lançado um atualizador automático que não exija intervenção do usuário e direitos administrativos. Por exemplo, o Google Chrome e o Flash Player possuem. Esse recurso permite que os usuários obtenham atualizações automáticas sem ser solicitado a tomar uma ação, facilitando as atualizações.

Por falta de um sistema de atualizações automáticas, muitos usuários ignoram as atualizações Java e até temem instalá-las, devido a malware que usou as atualizações Java como um vetor de infecção no passado ou experiências semelhantes.

Apenas saiba que todas essas vulnerabilidades são o que os criminosos cibernéticos prosperam.

...

Os dados extraídos de nosso próprio banco de dados confirmam que o Java é a segunda maior vulnerabilidade de segurança que requer patch constante, após o plug-in Flash da Adobe.

Somente em 2015, já implantamos 105925 patches para Java Runtime Environment para nossos clientes.

insira a descrição da imagem aqui

Leia o restante do artigo para obter explicações e comentários detalhados.

Origem Por que as vulnerabilidades do Java são um dos maiores buracos de segurança do seu computador?

A contagem regressiva final para NPAPI

Em setembro passado, anunciamos nosso plano de remover o suporte NPAPI do Chrome, uma alteração que melhorará a segurança, a velocidade e a estabilidade do Chrome, além de reduzir a complexidade na base de código.

Fonte A contagem regressiva final para NPAPI

Dizer adeus ao nosso velho amigo NPAPI

A arquitetura da era dos anos 90 da NPAPI se tornou uma das principais causas de travamentos, falhas, incidentes de segurança e complexidade de código. Por esse motivo, o Chrome desativará o suporte à NPAPI no próximo ano. Sentimos que a web está pronta para essa transição. A NPAPI não é suportada em dispositivos móveis, e a Mozilla planeja criar todos os plug-ins, exceto a versão atual do Flash, por padrão.

Fonte de despedida de nosso velho amigo NPAPI

DavidPostill
fonte
47
O instalador Java em si também é um vetor para crapware. A atualização de segurança diária do Java exige que você vasculhe todas as páginas do instalador para garantir que a Oracle não tenha incluído um novo craplet do MacAffee.
2
@JS. Talvez esteja faltando alguma coisa, mas pessoalmente nunca vi o instalador Java se oferecer para instalar outra coisa além do Java. Verdadeira razão pela qual o Google desativa o Java? O Google não quer que os desenvolvedores escrevam software para nada além do que eles têm controle.
Malcolm
14
@ Malcom: dê outra olhada. java.com mostra como desativar ofertas de patrocinadores; portanto, eles estão incluindo ofertas de patrocinador que as pessoas desejam desativar. java.com/pt/download/faq/disable_offers.xml
Ross Presser,
3
@RossPresser Se você baixar do oracle, não recebe as ofertas do patrocinador.
DavidPostill
7
@Malcolm de 2011-2015 o instalador oficial Java da Oracle incluiu esta: java.com/ga/images/en/ask_offer.jpg
hobbs
4

Conforme explicado pelo Google , a NPAPI (Netscape Plug-in API) era necessária nos primeiros dias dos navegadores da Web para ampliar seus recursos. Infelizmente, forneceu acesso à máquina subjacente. Portanto, se o plug-in continha uma vulnerabilidade e um invasor a explorava, o invasor ignorava o sandboxing do navegador e tinha acesso à máquina.

Esses vetores de ataque foram muito usados ​​no passado para infectar máquinas, levando a conselhos dizendo que você deve desativar o Java no seu navegador. Muitos recursos fornecidos pelos plug-ins Java agora são incluídos pelo próprio navegador (por exemplo, HTML5) com melhor desempenho e segurança ou com extensões em execução em uma caixa de proteção (por exemplo, NaCL ). É por isso que a decisão de deixar de suportar plug-ins Java foi tomada: alto risco, mas não há necessidade real dele.

Ronny
fonte
2

Por um longo tempo, houve uma mudança do Java, juntamente com outros plugins, como o Flash ou o Silverlight, na web. Um dos objetivos do HTML5 era criar uma estrutura em que os plugins não fossem necessários (portanto, tags como <audio>e <video>). Até agora, o único motivo para dar suporte ao Java é a compatibilidade com sistemas legados que provavelmente já deveriam ter sido aposentados até agora.

Então, por que plugins como Java são uma ameaça à segurança? Porque a história provou que sempre haverá um fluxo constante de falhas de segurança, permitindo uma infinidade de explorações. É intrinsecamente mais difícil proteger uma VM executando o bytecode Java do que proteger uma linguagem de script interpretada como JavaScript. Basta dar uma olhada nessas estatísticas .

Como você diz, é uma boa prática manter seus plugins atualizados. Mas isso não é suficiente. Primeiro, muitas pessoas não. Foi recentemente revelado que mesmo o equivalente sueco da NSA estava executando plugins Java desatualizados com vulnerabilidades de segurança conhecidas. Se eles não conseguirem acertar, você espera que o usuário doméstico médio faça isso? Segundo, não há como você se proteger de zero dias. Não importa a rapidez com que a Oracle produza correções, você estará em risco.

Até a Oracle reconheceu que a era dos applets Java acabou. De Ars Technica (janeiro de 2016):

O muito criticado plugin do navegador Java, fonte de tantas falhas de segurança ao longo dos anos, deve ser eliminado pela Oracle. Não será lamentado.

A Oracle, que adquiriu o Java como parte de sua compra da Sun Microsystems em 2010, anunciou que o plug-in será descontinuado na próxima versão do Java, versão 9, que está atualmente disponível como beta de acesso antecipado. Uma versão futura o removerá completamente.


fonte