Tại sao plugin Java (JRE) bị tắt trong Chrome?

Tại sao plugin Java (JRE) bị tắt trong Chrome? Đó là một số mối quan tâm an ninh?

Từ trang web Java chính thức:

Chrome không còn hỗ trợ NPAPI (công nghệ cần thiết cho các applet Java) Trình cắm Java cho trình duyệt web dựa trên kiến trúc plugin đa nền tảng NPAPI, được tất cả các trình duyệt web chính hỗ trợ trong hơn một thập kỷ. Phiên bản Chrome Chrome 45 (dự kiến phát hành vào tháng 9 năm 2015) giảm hỗ trợ cho NPAPI, tác động đến các plugin cho Silverlight, Java, Facebook Video và các plugin dựa trên NPAPI tương tự khác.

Nhưng có ai biết tại sao không? Làm thế nào nó có thể gây nguy hiểm cho người dùng Chrome khi cài đặt phiên bản Java JRE mới nhất?

google-chrome java

— Michał Kuliński
nguồn

Khi đăng báo giá, vui lòng bao gồm một liên kết đến nguồn trong tương lai.

Bạn đã trả lời câu hỏi của mình: vì plugin Java sử dụng NPAPI và Chrome không còn hỗ trợ nó nữa.

— gronostaj

Mặc dù lý do chính thức nghe có vẻ tốt, nhưng sự nghi ngờ cá nhân của tôi là sự sụp đổ giữa Google và Oracle trên Android có liên quan nhiều đến nó hơn bất kỳ ai muốn thừa nhận.

— Devsman

Tại sao Java bị vô hiệu hóa? ở vị trí đầu tiên "tại sao Flash và Java được bật?" Trừ khi tôi thực sự tin tưởng rất nhiều vào một trang web, tôi thậm chí còn vô hiệu hóa Javascript (thực tế tôi cũng có một lối tắt cho máy tính để bàn mà không có Javascript)

— GameDeveloper

@Devsman Nếu đó chỉ là Java, đối số của bạn có thể hợp lý, nhưng Google sẽ theo đuổi tất cả các plugin (và Mozilla cũng vậy). Silverlight, Acrobat Reader, shockwave, unity, quicktime, real player, v.v ... đều đã bị tấn công bởi cùng một cây búa cấm. Chúng đều được cài đặt rộng rãi và ít nhất là đôi khi được sử dụng bởi số lượng lớn người trong những năm qua. Tất cả những điều được cung cấp không thể được thực hiện trong trình duyệt trực tiếp 5-20 năm trước; nhưng có thể thực hiện được bằng nội tại trình duyệt hoặc HTML5 trực tiếp trong những ngày này ...

— Dan Neely

Câu trả lời:

Tại sao Java bị vô hiệu hóa trong Chrome? Đó là một số mối quan tâm an ninh?

Các lý do khiến vô hiệu hóa NPAPI và do đó là Java, bao gồm các lý do sau theo Blog của Chromium:

Tăng cường an ninh
Tăng tốc độ
Tăng sự ổn định
Giảm độ phức tạp của mã
Giảm sự cố
Giảm giá treo
Thiếu hỗ trợ cho thiết bị di động

Ghi chú:

Firefox cũng đang bỏ hỗ trợ cho NPAPI - Xem Plugin NPAPI trong Firefox :

Plugin là nguồn gốc của các sự cố về hiệu năng, sự cố và sự cố bảo mật cho người dùng Web.

Mozilla dự định sẽ loại bỏ hỗ trợ cho hầu hết các plugin NPAPI trong Firefox vào cuối năm 2016.

Làm thế nào nó có thể gây nguy hiểm cho người dùng Chrome khi cài đặt phiên bản Java JRE mới nhất?

Câu trả lời ngắn gọn: Khai thác ngày không.

Một nguồn khác cho các lỗ hổng bảo mật là việc Java chưa phát hành trình cập nhật tự động không yêu cầu sự can thiệp của người dùng và quyền quản trị. Ví dụ: Google Chrome và Flash Player có. Tính năng này cho phép người dùng nhận cập nhật tự động mà không cần được nhắc nhở hành động, giúp cập nhật dễ dàng hơn.

Vì thiếu hệ thống cập nhật tự động, nhiều người dùng bỏ qua các bản cập nhật Java và thậm chí sợ cài đặt chúng, vì phần mềm độc hại đã sử dụng các bản cập nhật Java như một vectơ lây nhiễm trong quá khứ hoặc các trải nghiệm tương tự.

Chỉ cần biết rằng tất cả các lỗ hổng này là những gì tội phạm mạng phát triển mạnh.

...

Dữ liệu được trích xuất từ cơ sở dữ liệu của chúng tôi xác nhận rằng Java là lỗ hổng bảo mật lớn thứ hai đòi hỏi phải vá liên tục, sau plugin Flash của Adobe.

Chỉ riêng trong năm 2015, chúng tôi đã triển khai 105925 bản vá cho Môi trường chạy thi hành Java cho các khách hàng của chúng tôi.

Đọc phần còn lại của bài viết để được giải thích chi tiết và bình luận.

Nguồn Tại sao các lỗ hổng của Java là một trong những lỗ hổng bảo mật lớn nhất trên máy tính của bạn?

Đếm ngược cuối cùng cho NPAPI

Tháng 9 năm ngoái, chúng tôi đã công bố kế hoạch loại bỏ hỗ trợ NPAPI khỏi Chrome, một thay đổi sẽ cải thiện tính bảo mật, tốc độ và tính ổn định của Chrome cũng như giảm độ phức tạp trong cơ sở mã.

Nguồn đếm ngược cuối cùng cho NPAPI

Nói lời tạm biệt với người bạn cũ NPAPI của chúng tôi

Kiến trúc từ những năm 90 của NPAPI đã trở thành nguyên nhân hàng đầu của các vụ treo cổ, sự cố, sự cố bảo mật và sự phức tạp của mã. Vì điều này, Chrome sẽ loại bỏ hỗ trợ NPAPI trong năm tới. Chúng tôi cảm thấy web đã sẵn sàng cho quá trình chuyển đổi này. NPAPI không được hỗ trợ trên thiết bị di động và Mozilla có kế hoạch tạo tất cả các plugin ngoại trừ phiên bản Flash nhấp để phát theo mặc định.

Nguồn nói lời tạm biệt với người bạn cũ NPAPI của chúng tôi

— DavidPostill
nguồn

Bản thân trình cài đặt Java cũng là một vector cho crapware. Bản cập nhật bảo mật Java hàng ngày yêu cầu bạn phải lướt qua mọi trang của trình cài đặt để đảm bảo rằng Oracle đã không gói trong một số craplet MacAffee mới.

@JS. Có thể tôi đang thiếu một cái gì đó nhưng cá nhân tôi chưa bao giờ thấy trình cài đặt Java cung cấp để cài đặt bất cứ thứ gì khác ngoài Java. Lý do thực sự tại sao Google vô hiệu hóa Java? Google không muốn các nhà phát triển viết phần mềm cho bất cứ điều gì khác ngoài những gì họ có quyền kiểm soát.

— Malcolm

@Malcom: hãy xem xét lại. java.com cho bạn biết làm thế nào để vô hiệu hóa các đề nghị của nhà tài trợ; do đó, họ bao gồm các đề nghị tài trợ mà mọi người muốn vô hiệu hóa. java.com/en/doad/faq/disable_offers.xml

— Ross Presser

@RossPresser nếu bạn tải xuống từ oracle bạn không nhận được ưu đãi của nhà tài trợ.

— DavidPostill

@Malcolm từ 2011-2015 trình cài đặt Java chính thức từ Oracle bao gồm: java.com/ga/images/en/ask_offer.jpg

— hobbs

Theo giải thích của Google , API trình cắm thêm Netscape (NPAPI) là cần thiết trong những ngày đầu của trình duyệt web để mở rộng các tính năng của chúng. Thật không may, nó cung cấp quyền truy cập vào máy bên dưới. Do đó, nếu plugin chứa lỗ hổng và kẻ tấn công đã khai thác nó, kẻ tấn công đã bỏ qua hộp cát của trình duyệt và có quyền truy cập vào máy.

Các vectơ tấn công như vậy đã được sử dụng rất nhiều trong quá khứ để lây nhiễm các máy, dẫn đến lời khuyên rằng bạn nên vô hiệu hóa Java trên trình duyệt của mình. Nhiều tính năng được cung cấp bởi các trình cắm Java hiện được bao gồm bởi chính trình duyệt (ví dụ HTML5) với hiệu suất và bảo mật tốt hơn hoặc với các tiện ích mở rộng đang chạy trong hộp cát (ví dụ: NaCL ). Đó là lý do tại sao quyết định không còn hỗ trợ các trình cắm Java đã được đưa ra: rủi ro cao, nhưng không có nhu cầu thực sự cho nó.

— Ronny
nguồn

Trong một thời gian dài, đã có một sự dịch chuyển khỏi Java, cùng với các plugin khác như Flash hoặc Silverlight, trên web. Một trong những mục tiêu với HTML5 là tạo ra một khung mà các plugin không cần thiết (do đó các thẻ như <audio>và <video>). Cho đến bây giờ, lý do duy nhất để hỗ trợ Java là khả năng tương thích với các hệ thống cũ có lẽ đã bị loại bỏ ngay bây giờ.

Vậy tại sao các plugin như Java là mối đe dọa bảo mật? Bởi vì lịch sử đã chứng minh rằng sẽ luôn có một lỗ hổng bảo mật ổn định cho phép khai thác vô số. Việc bảo mật một VM chạy mã byte Java vốn khó hơn so với Sandbox một ngôn ngữ kịch bản được diễn giải như JavaScript. Chỉ cần nhìn vào những thống kê này .

Như bạn nói, đó là một thực hành tốt để giữ cho các plugin của bạn được cập nhật. Nhưng như vậy là chưa đủ. Đầu tiên, rất nhiều người không. Gần đây đã tiết lộ rằng ngay cả NSA tương đương của Thụy Điển cũng đang chạy các plugin Java lỗi thời với các lỗ hổng bảo mật đã biết. Nếu họ không thể hiểu đúng, bạn có mong đợi người dùng gia đình trung bình sẽ làm như vậy không? Thứ hai, không có cách nào bạn có thể tự bảo vệ mình khỏi ngày không. Cho dù Oracle sản xuất các bản vá nhanh như thế nào, bạn sẽ gặp rủi ro.

Ngay cả Oracle cũng thừa nhận rằng thời đại của các applet Java đã kết thúc. Từ Ars Technica (tháng 1 năm 2016):

Plugin trình duyệt Java không phù hợp, nguồn gốc của rất nhiều lỗi bảo mật trong nhiều năm qua, sẽ bị Oracle giết chết. Nó sẽ không được thương tiếc.

Oracle, công ty đã mua Java như là một phần trong việc mua Sun microsystems năm 2010, đã thông báo rằng plugin sẽ không còn được phát hành trong phiên bản tiếp theo của Java, phiên bản 9, hiện đang có sẵn dưới dạng beta truy cập sớm. Một bản phát hành trong tương lai sẽ loại bỏ nó hoàn toàn.