Chrome'da Java eklentisi (JRE) neden devre dışı?

Chrome'da neden Java eklentisi (JRE) devre dışı bırakılmış? Bazı güvenlik endişesi var mı?

Resmi Java web sitesinden:

Chrome artık NPAPI'yi desteklemiyor (Java uygulamaları için gereken teknoloji) Web tarayıcıları için Java eklentisi, on yıldan uzun bir süredir tüm büyük web tarayıcıları tarafından desteklenen çapraz platform eklenti mimarisi NPAPI'ye dayanmaktadır. Google’ın Chrome sürüm 45’i (Eylül 2015’te yayınlanması planlanan), Silverlight, Java, Facebook Video ve benzeri NPAPI tabanlı eklentiler için eklentileri etkileyerek NPAPI’nın desteğini reddediyor.

Ama nedenini bilen var mı? Java JRE'nin en son sürümünün yüklü olduğu Chrome kullanıcıları için tehlikeli olabilir

google-chrome java

— Michał Kuliński
kaynak

Tırnak gönderirken, lütfen gelecekte kaynağa bir bağlantı ekleyin.

Sorunuzu cevapladınız: çünkü Java eklentisi NPAPI kullanıyor ve Chrome artık desteklemiyor.

— gronostaj

Resmi neden iyi gibi görünse de, benim kişisel şüphem, Google ile Android üzerinden Oracle arasındaki sürgünün herkesin kabul etmek istediğinden çok daha fazlası ile ilgisi olduğudur.

— Devsman

Java neden devre dışı? ilk etapta "neden Flash ve Java etkin?" Gerçekten bir siteye güvenmediğim sürece Javascript'i bile devre dışı

— bırakıyorum

@Devsman Sadece Java olsaydı, tartışmanız mantıklı olabilirdi, ancak Google bütün eklentilerden sonra (ve Mozilla gibi) devam ediyor. Silverlight, Acrobat Reader, shockwave, birlik, quicktime, gerçek oyuncu vb. Hepsi aynı ban çekiçle vuruldu. Hepsi yaygın olarak kurulmuş ve en azından zaman zaman çok sayıda insan tarafından kullanılmaktadır. Hepsi, 5-20 yıl önce doğrudan tarayıcıda yapılamayan şeyler yaptı; ancak bu günlerde tarayıcı içgüdüleri veya doğrudan HTML5 tarafından yapılabilenler ...

— Dan Neely

Yanıtlar:

Java neden Chrome'da devre dışı bırakıldı? Bazı güvenlik endişesi var mı?

NPAPI'nin ve dolayısıyla Java'nın devre dışı bırakılmasına neden olan nedenler, Chromium Blog’a göre şunları içerir:

Yükseltilmiş güvenlik
Artan hız
Artan kararlılık
Kod karmaşıklığında azalma
Çarpışmalarda azalma
Askıda azalma
Mobil cihazlar için destek eksikliği

Not:

Firefox ayrıca NPAPI desteğini de bırakıyor - Firefox'taki NPAPI Eklentilerine bakınız :

Eklentiler, Web kullanıcıları için bir performans sorunları, çökmeler ve güvenlik olayları kaynağıdır.

Mozilla, Firefox'taki çoğu NPAPI eklentisi desteğini 2016'nın sonuna kadar kaldırmayı planlıyor.

Java JRE'nin en son sürümünün yüklü olduğu Chrome kullanıcıları için tehlikeli olabilir mi?

Kısa cevap: Zero Day Exploits.

Güvenlik açıklarının bir diğer kaynağı, Java'nın kullanıcı müdahalesi ve yönetici hakları gerektirmeyen bir otomatik güncelleyici yayınlamamış olmasıdır. Örneğin, Google Chrome ve Flash Player'da var. Bu özellik, kullanıcıların işlem yapmaları istenmeden otomatik güncellemeler almalarını sağlar ve böylece güncellemeleri kolaylaştırır.

Otomatik güncelleme sistemi bulunmadığı için, birçok kullanıcı Java güncellemelerini görmezden gelir ve hatta geçmiş veya benzer deneyimlerde Java güncellemelerini bir enfeksiyon vektörü olarak kullanan kötü amaçlı yazılımlar nedeniyle yüklemekten korkar.

Sadece tüm bu güvenlik açıklarının siber suçluların ortaya çıkardığı şey olduğunu bilin.

...

Kendi veritabanımızdan elde edilen veriler, Java'nın Adobe Flash eklentisinden sonra sürekli yama gerektiren ikinci en büyük güvenlik açığı olduğunu onaylar.

Yalnızca 2015 yılında müşterilerimiz için Java Runtime Environment için 105925 düzeltme ekini zaten dağıtmış bulunuyoruz.

Ayrıntılı açıklama ve yorum için makalenin geri kalanını okuyun.

Kaynak Neden Java'nın Güvenlik Açıkları Bilgisayarınızdaki En Büyük Güvenlik Deliklerinden Biri?

NPAPI için Son Geri Sayım

Geçtiğimiz Eylül ayında, Chrome'un güvenliğini, hızını ve kararlılığını artıracak ve kod tabanındaki karmaşıklığı azaltacak bir değişiklik olan NPAPI desteğini Chrome'dan kaldırma planımızı duyurduk.

Kaynak NPAPI için Son Geri Sayım

Eski Dostumuz NPAPI'ya Hoşçakal Demek

NPAPI'nin 90'ların dönemi mimarisi, kilitlenmeler, çökmeler, güvenlik olayları ve kod karmaşıklığının önde gelen bir nedeni haline geldi. Bu nedenle, Chrome önümüzdeki yıl boyunca NPAPI desteğini iptal edecek. Web'in bu geçiş için hazır olduğunu düşünüyoruz. NPAPI mobil cihazlarda desteklenmez ve Mozilla varsayılan olarak Flash tıkla ve oynat özelliğinin tüm sürümlerini yapmayı planlamaktadır.

Source Eski Dostumuz NPAPI'ya Veda Ediyor

— DavidPostill
kaynak

Java yükleyicisinin kendisi de crapware için bir vektördür. Günlük Java güvenlik güncellemesi, Oracle'ın bazı yeni MacAffee paketlerinde bulunmadığından emin olmak için yükleyicinin her sayfasını taramanızı gerektirir.

@JS. Belki de bir şeyleri özlüyorum ama kişisel olarak Java yükleyicisinin Java dışında başka bir şey yüklemeyi teklif ettiğini hiç görmedim. Google’ın Java’yı devre dışı bırakmasının gerçek nedeni? Google, geliştiricilerin kontrolü kontrol ettiklerinden başka bir şey için yazılım yazmasını istemez.

— Malcolm

@Malcom: başka bir göz atın. java.com size sponsor tekliflerini nasıl devre dışı bırakacağınızı anlatıyor; bu nedenle, insanların devre dışı bırakmak istedikleri sponsor teklifleri de içeriyor. java.com/tr/download/faq/disable_offers.xml

— Ross Presser

@RossPresser oracle'dan indirirseniz, sponsor teklifleri almazsınız.

— DavidPostill

2011-2015’den @Malcolm, Oracle’ın resmi Java yükleyicisi bunu içeriyordu: java.com/ga/images/en/ask_offer.jpg

— hobbs

Google tarafından açıklandığı gibi , web sitelerinin ilk günlerinde özelliklerini genişletmek için Netscape Plug-in API'sine (NPAPI) ihtiyaç duyuldu. Ne yazık ki, altta yatan makineye erişim sağladı. Böylece, eklenti bir güvenlik açığı içeriyorsa ve bir saldırgan kullandıysa, saldırgan tarayıcının sanal alanını atladı ve makineye erişebildi.

Bu tür saldırı vektörleri geçmişte makinelere bulaşmak için yoğun bir şekilde kullanılmış ve tarayıcınızda Java'yı devre dışı bırakmanız gerektiğini söyleyen tavsiyelere yol açmıştır. Java eklentileri tarafından sağlanan birçok özellik artık daha iyi performans ve güvenlik ile veya bir sanal alanda (örneğin NaCL ) çalışan uzantılara sahip tarayıcının kendisi tarafından (örn. HTML5) eklenmiştir . Bu yüzden artık Java eklentilerini desteklememe kararı verildi: yüksek riskli, ancak buna gerek yok.

— Ronny
kaynak

Uzun süredir, web üzerinde Java'dan Flash veya Silverlight gibi diğer eklentilerle birlikte bir hamle oldu. HTML5 ile hedeflerden biri, eklentilere ihtiyaç duyulmayan bir çerçeve oluşturmaktı (bu nedenle etiketler <audio>ve gibi <video>). Şimdiye kadar Java'yı desteklemenin tek nedeni, muhtemelen şu ana kadar emekli olması gereken eski sistemlerle uyumluluk için.

Peki neden Java gibi eklentiler bir güvenlik tehdidi? Çünkü tarih, çok sayıda istismara izin veren sürekli bir güvenlik delikleri akışı olacağını kanıtlamıştır. Java kodunu çalıştıran bir VM'yi, JavaScript gibi yorumlanmış bir komut dosyası dilini sanal alandan daha güvenli hale getirmek, doğal olarak daha zordur. Sadece bu istatistiklere bir göz atın .

Söylediğiniz gibi, eklentilerinizi güncel tutmak iyi bir uygulamadır. Ama bu yeterli değil. İlk olarak, birçok insan yok. Kısa bir süre önce İsveç NSA eşdeğeri bile bilinen güvenlik açıklarına sahip eski Java eklentileri kullandığı ortaya çıktı. Doğru yapamıyorlarsa, ortalama bir ev kullanıcısının bunu yapmasını bekliyor musunuz? İkincisi, kendinizi sıfır günden korumanız mümkün değil. Oracle ne kadar hızlı yama üretirse üretsin, risk altında olacaksın.

Oracle bile Java uygulamaları çağı sona erdiğini kabul etti. Gönderen Ars Technica (2016 Jan):

Çok fazla malign Java tarayıcısı eklentisi, yıllar boyunca çok fazla güvenlik açığı kaynağı olan Oracle tarafından öldürülmek üzere. Yas tutmayacak.

2010 Sun Microsystems satın alımının bir parçası olarak Java'yı satın alan Oracle, eklentinin şu anda erken erişim beta sürümü olan sürüm 9 olan Java'nın bir sonraki sürümünde kullanımdan kaldırılacağını açıkladı . Gelecekteki bir sürüm onu tamamen kaldıracak.