Почему плагин Java (JRE) отключен в Chrome?

Почему плагин Java (JRE) отключен в Chrome? Это какая-то проблема безопасности?

С официального сайта Java:

Chrome больше не поддерживает NPAPI (технология, необходимая для Java-апплетов). Плагин Java для веб-браузеров опирается на кроссплатформенную архитектуру плагинов NPAPI, которая поддерживается всеми основными веб-браузерами уже более десяти лет. Версия Google Chrome 45 (выпуск которой запланирован на сентябрь 2015 года) прекращает поддержку NPAPI, влияя на плагины для Silverlight, Java, Facebook Video и других подобных плагинов на основе NPAPI.

Но кто-нибудь знает почему? Чем это может быть опасно для пользователя Chrome с установленной последней версией Java JRE?

Почему Java отключена в Chrome? Это какая-то проблема безопасности?

Причины, побуждающие отключить NPAPI и, следовательно, Java, включают следующее в соответствии с блогом Chromium:

• Повышенная безопасность
• Увеличенная скорость
• Повышенная стабильность
• Уменьшение сложности кода
• Уменьшение аварий
• Уменьшение зависаний
• Отсутствие поддержки мобильных устройств

Заметка:

• Firefox также прекращает поддержку NPAPI - см. Плагины NPAPI в Firefox :

  Плагины являются источником проблем с производительностью, сбоев и инцидентов безопасности для веб-пользователей.

  Mozilla планирует отменить поддержку большинства плагинов NPAPI в Firefox к концу 2016 года.

Чем это может быть опасно для пользователей Chrome с установленной последней версией Java JRE?

Краткий ответ: подвиги Zero Day.

Другим источником уязвимостей является тот факт, что Java не выпустила автоматическое средство обновления, которое не требует вмешательства пользователя и прав администратора. Например, Google Chrome и Flash Player есть. Эта функция позволяет пользователям получать автоматические обновления без запроса на выполнение действий, что упрощает обновление.

Из-за отсутствия автоматической системы обновлений многие пользователи игнорируют обновления Java и даже боятся их устанавливать из-за вредоносного ПО, которое использовало обновления Java в качестве вектора заражения в прошлом или аналогичного.

Просто знайте, что все эти уязвимости - то, на чем процветают киберпреступники.

...

Данные, извлеченные из нашей собственной базы данных, подтверждают, что Java является второй по величине уязвимостью безопасности, которая требует постоянного исправления после плагина Adobe Flash.

Только в 2015 году мы уже развернули 105925 исправлений для Java Runtime Environment для наших клиентов.

Прочитайте остальную часть статьи для подробного объяснения и комментария.

Источник Почему уязвимости Java являются одной из самых больших дыр в безопасности вашего компьютера?

Финальный отсчет для NPAPI

В сентябре прошлого года мы объявили о нашем плане по удалению поддержки NPAPI из Chrome, что улучшит безопасность, скорость и стабильность Chrome, а также уменьшит сложность в кодовой базе.

Источник Окончательный отсчет для NPAPI

Прощаемся с нашим старым другом NPAPI

Архитектура NPAPI 90-х годов стала основной причиной зависаний, сбоев, инцидентов безопасности и сложности кода. Из-за этого Chrome постепенно прекратит поддержку NPAPI в следующем году. Мы чувствуем, что сеть готова к этому переходу. NPAPI не поддерживается на мобильных устройствах, и Mozilla планирует сделать все плагины, за исключением текущей версии Flash, воспроизводимой по умолчанию.

Источник прощается с нашим старым другом NPAPI

Как объясняет Google , API-интерфейс Netscape Plug-in (NPAPI) был необходим в первые дни веб-браузеров для расширения их функций. К сожалению, он предоставил доступ к базовой машине. Таким образом, если плагин содержал уязвимость и злоумышленник использовал ее, злоумышленник обошел «песочницу» браузера и получил доступ к компьютеру.

Такие векторы атак в прошлом широко использовались для заражения компьютеров, что привело к совету, согласно которому вы должны отключить Java в своем браузере. Многие функции, предоставляемые плагинами Java, теперь включены самим браузером (например, HTML5) с лучшей производительностью и безопасностью или с расширениями, работающими в песочнице (например, NaCL ). Вот почему было принято решение больше не поддерживать плагины Java: высокий риск, но в этом нет реальной необходимости.

В течение долгого времени в Интернете был удален Java и другие плагины, такие как Flash или Silverlight. Одной из целей HTML5 было создание фреймворка, в котором плагины не нужны (следовательно, такие теги, как <audio>и <video>). К настоящему времени единственной причиной поддержки Java является совместимость с унаследованными системами, которые, вероятно, в любом случае должны быть уже удалены.

Так почему же такие плагины, как Java, представляют угрозу безопасности? Потому что история доказала, что всегда будет постоянный поток дыр в безопасности, допускающих множество подвигов. Просто защитить виртуальную машину, работающую с байт-кодом Java, сложнее, чем изолировать интерпретируемый язык сценариев, такой как JavaScript. Просто посмотрите на эту статистику .

Как вы говорите, рекомендуется регулярно обновлять плагины. Но этого недостаточно. Во-первых, многие люди этого не делают. Недавно было обнаружено, что даже в шведском эквиваленте NSA используются устаревшие плагины Java с известными уязвимостями безопасности. Если они не могут сделать это правильно, ожидаете ли вы, что средний домашний пользователь сделает это? Во-вторых, нет способа защитить себя от нулевых дней. Независимо от того, насколько быстро Oracle выпускает патчи, вы будете в опасности.

Даже Oracle признал, что эра Java-апплетов закончилась. От Ars Technica (январь 2016 г.):

Оскорбленный плагином Java-браузер, который за многие годы стал источником многих недостатков безопасности, должен быть уничтожен Oracle. Это не будет оплакиваться.

Oracle, которая приобрела Java в рамках своей покупки Sun Microsystems в 2010 году, объявила, что плагин будет устаревшим в следующем выпуске Java версии 9, который в настоящее время доступен как бета-версия раннего доступа. Будущий релиз полностью удалит его.