Warum ist das Java-Plugin (JRE) in Chrome deaktiviert?

40

Warum ist das Java-Plugin (JRE) in Chrome deaktiviert? Ist es ein Sicherheitsrisiko?

Von der offiziellen Java-Website:

Chrome unterstützt NPAPI nicht mehr (Technologie für Java-Applets erforderlich) Das Java-Plug-in für Webbrowser basiert auf der plattformübergreifenden Plug-in-Architektur NPAPI, die seit über einem Jahrzehnt von allen wichtigen Webbrowsern unterstützt wird. Die Chrome-Version 45 von Google (deren Veröffentlichung für September 2015 geplant ist) stellt die Unterstützung für NPAPI ein und wirkt sich auf Plugins für Silverlight, Java, Facebook Video und andere ähnliche NPAPI-basierte Plugins aus.

Aber weiß jemand warum? Wie gefährlich könnte es für Chrome-Nutzer sein, wenn die neueste Version von Java JRE installiert ist?

Michał Kuliński
quelle
1
Wenn Sie Angebote veröffentlichen, fügen Sie bitte in Zukunft einen Link zur Quelle hinzu.
8
Sie haben Ihre Frage beantwortet: Da das Java-Plugin NPAPI verwendet, wird es von Chrome nicht mehr unterstützt.
Gronostaj
7
Obwohl der offizielle Grund gut klingt, ist mein persönlicher Verdacht, dass die Auseinandersetzung zwischen Google und Oracle über Android viel mehr damit zu tun hatte, als irgendjemand zugeben möchte.
Devsman
2
Warum Java deaktiviert? An erster Stelle "Warum sind Flash und Java aktiviert?" Wenn ich einer Site nicht wirklich vertraue, deaktiviere ich sogar Javascript (in Wirklichkeit habe ich eine Desktop-
Verknüpfung
1
@Devsman Wenn es nur Java wäre, könnte Ihr Argument plausibel sein, aber Google sucht nach allen Plugins (und Mozilla auch). Silverlight, Acrobat Reader, Shockwave, Unity, Quicktime, Real Player usw. wurden alle von demselben Bannhammer getroffen. Sie waren alle weit verbreitet und wurden im Laufe der Jahre zumindest gelegentlich von einer großen Anzahl von Menschen benutzt. Alles lieferte Dinge, die vor 5-20 Jahren im Browser nicht direkt ausgeführt werden konnten; Aber welche sind entweder durch Browser-Intrinsics oder HTML5 direkt in diesen Tagen machbar ...
Dan Neely

Antworten:

59

Warum ist Java in Chrome deaktiviert? Ist es ein Sicherheitsrisiko?

Die Gründe für die Deaktivierung von NPAPI und damit von Java laut Chromium Blog:

  • Erhöhte Sicherheit
  • Geschwindigkeit erhöht
  • Erhöhte Stabilität
  • Reduzierung der Codekomplexität
  • Reduzierung von Abstürzen
  • Reduzierung der Hänge
  • Fehlende Unterstützung für mobile Geräte

Hinweis:

  • Firefox stellt auch die Unterstützung für NPAPI ein - siehe NPAPI-Plugins in Firefox :

    Plugins sind eine Quelle von Leistungsproblemen, Abstürzen und Sicherheitsvorfällen für Webbenutzer.

    Mozilla beabsichtigt, die Unterstützung für die meisten NPAPI-Plugins in Firefox bis Ende 2016 zu entfernen.


Wie gefährlich könnte es für Chrome-Nutzer sein, wenn die neueste Version von Java JRE installiert ist?

Kurze Antwort: Zero Day Exploits.

Eine weitere Quelle für Sicherheitsanfälligkeiten ist die Tatsache, dass Java keinen automatischen Updater veröffentlicht hat, für den keine Benutzereingriffe und Administratorrechte erforderlich sind. Zum Beispiel haben Google Chrome und Flash Player. Mit dieser Funktion können Benutzer automatische Updates erhalten, ohne aufgefordert zu werden, Maßnahmen zu ergreifen, wodurch Updates einfacher werden.

Mangels eines automatischen Aktualisierungssystems ignorieren viele Benutzer Java-Aktualisierungen und befürchten sogar, sie zu installieren, da Malware in der Vergangenheit Java-Aktualisierungen als Infektionsvektor verwendet hat oder ähnliche Erfahrungen gemacht hat.

Wissen Sie nur, dass all diese Sicherheitslücken das sind, wovon Cyberkriminelle leben.

...

Aus unserer eigenen Datenbank extrahierte Daten bestätigen, dass Java die zweitgrößte Sicherheitslücke ist, für die nach dem Adobe Flash-Plugin ein ständiges Patchen erforderlich ist.

Alleine im Jahr 2015 haben wir bereits 105925 Patches für Java Runtime Environment für unsere Kunden bereitgestellt.

Bildbeschreibung hier eingeben

Lesen Sie den Rest des Artikels für eine detaillierte Erklärung und einen Kommentar.

Quelle Warum sind Javas Sicherheitslücken eine der größten Sicherheitslücken auf Ihrem Computer?


Der letzte Countdown für NPAPI

Im vergangenen September haben wir unseren Plan angekündigt, die NPAPI-Unterstützung von Chrome zu streichen. Diese Änderung wird die Sicherheit, Geschwindigkeit und Stabilität von Chrome verbessern und die Komplexität der Codebasis verringern.

Quelle Der letzte Countdown für NPAPI


Abschied von unserem alten Freund NPAPI

Die Architektur von NPAPI aus den 90er Jahren ist zu einer der Hauptursachen für Abstürze, Sicherheitsvorfälle und die Komplexität von Code geworden. Aus diesem Grund wird Chrome den NPAPI-Support im kommenden Jahr einstellen. Wir sind der Meinung, dass das Web für diesen Übergang bereit ist. NPAPI wird auf Mobilgeräten nicht unterstützt, und Mozilla plant, standardmäßig alle Plug-Ins mit Ausnahme der aktuellen Version von Flash Click-to-Play zu erstellen.

Quelle Abschied von unserem alten Freund NPAPI

DavidPostill
quelle
47
Das Java- Installationsprogramm selbst ist auch ein Vektor für Crapware. Für das tägliche Java-Sicherheitsupdate müssen Sie alle Seiten des Installationsprogramms durchgehen, um sicherzustellen, dass Oracle nicht in einem neuen MacAffee-Craplet enthalten ist.
2
@JS. Vielleicht fehlt mir etwas, aber ich persönlich habe noch nie gesehen, dass der Java-Installer angeboten hat, etwas anderes als Java zu installieren. Wirklicher Grund, warum Google Java deaktiviert? Google möchte nicht, dass Entwickler Software für etwas anderes schreiben, als für das, worüber sie Kontrolle haben.
Malcolm,
14
@Malcom: schau nochmal vorbei. Auf java.com erfahren Sie, wie Sie Sponsorenangebote deaktivieren können. Aus diesem Grund enthalten sie Sponsorenangebote, die deaktiviert werden sollen. java.com/en/download/faq/disable_offers.xml
Ross Presser
3
@ RossPresser Wenn Sie von Oracle herunterladen, erhalten Sie keine Sponsorenangebote.
DavidPostill
7
@Malcolm von 2011-2015, das offizielle Java-Installationsprogramm von Oracle, enthielt Folgendes
hobbs
4

Wie von Google erklärt , wurde die Netscape-Plug-in-API (NPAPI) in den Anfängen von Webbrowsern benötigt, um ihre Funktionen zu erweitern. Leider bot es Zugriff auf die zugrunde liegende Maschine. Wenn das Plugin eine Sicherheitsanfälligkeit enthielt und ein Angreifer sie ausnutzte, umging der Angreifer die Sandbox des Browsers und hatte Zugriff auf den Computer.

Solche Angriffsmethoden wurden in der Vergangenheit häufig verwendet, um Computer zu infizieren. Daher wird empfohlen, Java in Ihrem Browser zu deaktivieren. Viele von Java-Plugins bereitgestellte Funktionen werden jetzt vom Browser selbst (z. B. HTML5) mit einer besseren Leistung und Sicherheit oder mit Erweiterungen in einer Sandbox (z . B. NaCL ) bereitgestellt . Aus diesem Grund wurde die Entscheidung getroffen, Java-Plugins nicht mehr zu unterstützen: hohes Risiko, aber keine wirkliche Notwendigkeit dafür.

Ronny
quelle
2

Seit langem gibt es eine Abkehr von Java, zusammen mit anderen Plugins wie Flash oder Silverlight, im Web. Eines der Ziele von HTML5 war es, ein Framework zu erstellen, in dem keine Plugins benötigt werden (daher Tags wie <audio>und <video>). Derzeit besteht der einzige Grund für die Unterstützung von Java in der Kompatibilität mit älteren Systemen, die wahrscheinlich sowieso inzwischen ausgemustert sein sollten.

Warum sind Plugins wie Java eine Sicherheitsbedrohung? Denn die Geschichte hat bewiesen, dass es immer wieder Sicherheitslücken geben wird, die eine Vielzahl von Exploits ermöglichen. Es ist von Natur aus schwieriger, eine VM mit Java-Bytecode zu sichern, als eine interpretierte Skriptsprache wie JavaScript zu sandboxen. Schauen Sie sich diese Statistiken an .

Wie Sie sagen, ist es eine gute Praxis, Ihre Plugins auf dem neuesten Stand zu halten. Das reicht aber nicht. Erstens tun es viele Menschen nicht. Kürzlich wurde bekannt, dass selbst das schwedische Pendant zu NSA veraltete Java-Plugins mit bekannten Sicherheitslücken ausführte. Wenn sie es nicht richtig machen können, erwarten Sie, dass der durchschnittliche Heimanwender dies tut? Zweitens gibt es keine Möglichkeit, sich vor null Tagen zu schützen. Unabhängig davon, wie schnell Oracle Patches erstellt, sind Sie in Gefahr.

Selbst Oracle hat erkannt, dass die Ära der Java-Applets vorbei ist. Von Ars Technica (Jan 2016):

Das vielfach bösartige Java-Browser-Plugin, das im Laufe der Jahre so viele Sicherheitslücken aufwies, soll von Oracle beseitigt werden. Es wird nicht getrauert.

Oracle, das Java im Rahmen des Erwerbs von Sun Microsystems im Jahr 2010 erworben hat, hat angekündigt, dass das Plugin in der nächsten Java-Version 9, die derzeit als Beta-Version für den frühen Zugriff verfügbar ist, nicht mehr unterstützt wird. Eine zukünftige Version wird es vollständig entfernen.


quelle