Warum ist das Java-Plugin (JRE) in Chrome deaktiviert? Ist es ein Sicherheitsrisiko?
Von der offiziellen Java-Website:
Chrome unterstützt NPAPI nicht mehr (Technologie für Java-Applets erforderlich) Das Java-Plug-in für Webbrowser basiert auf der plattformübergreifenden Plug-in-Architektur NPAPI, die seit über einem Jahrzehnt von allen wichtigen Webbrowsern unterstützt wird. Die Chrome-Version 45 von Google (deren Veröffentlichung für September 2015 geplant ist) stellt die Unterstützung für NPAPI ein und wirkt sich auf Plugins für Silverlight, Java, Facebook Video und andere ähnliche NPAPI-basierte Plugins aus.
Aber weiß jemand warum? Wie gefährlich könnte es für Chrome-Nutzer sein, wenn die neueste Version von Java JRE installiert ist?
google-chrome
java
Michał Kuliński
quelle
quelle
Antworten:
Warum ist Java in Chrome deaktiviert? Ist es ein Sicherheitsrisiko?
Die Gründe für die Deaktivierung von NPAPI und damit von Java laut Chromium Blog:
Hinweis:
Firefox stellt auch die Unterstützung für NPAPI ein - siehe NPAPI-Plugins in Firefox :
Wie gefährlich könnte es für Chrome-Nutzer sein, wenn die neueste Version von Java JRE installiert ist?
Kurze Antwort: Zero Day Exploits.
...
Lesen Sie den Rest des Artikels für eine detaillierte Erklärung und einen Kommentar.
Quelle Warum sind Javas Sicherheitslücken eine der größten Sicherheitslücken auf Ihrem Computer?
Der letzte Countdown für NPAPI
Quelle Der letzte Countdown für NPAPI
Abschied von unserem alten Freund NPAPI
Quelle Abschied von unserem alten Freund NPAPI
quelle
Wie von Google erklärt , wurde die Netscape-Plug-in-API (NPAPI) in den Anfängen von Webbrowsern benötigt, um ihre Funktionen zu erweitern. Leider bot es Zugriff auf die zugrunde liegende Maschine. Wenn das Plugin eine Sicherheitsanfälligkeit enthielt und ein Angreifer sie ausnutzte, umging der Angreifer die Sandbox des Browsers und hatte Zugriff auf den Computer.
Solche Angriffsmethoden wurden in der Vergangenheit häufig verwendet, um Computer zu infizieren. Daher wird empfohlen, Java in Ihrem Browser zu deaktivieren. Viele von Java-Plugins bereitgestellte Funktionen werden jetzt vom Browser selbst (z. B. HTML5) mit einer besseren Leistung und Sicherheit oder mit Erweiterungen in einer Sandbox (z . B. NaCL ) bereitgestellt . Aus diesem Grund wurde die Entscheidung getroffen, Java-Plugins nicht mehr zu unterstützen: hohes Risiko, aber keine wirkliche Notwendigkeit dafür.
quelle
Seit langem gibt es eine Abkehr von Java, zusammen mit anderen Plugins wie Flash oder Silverlight, im Web. Eines der Ziele von HTML5 war es, ein Framework zu erstellen, in dem keine Plugins benötigt werden (daher Tags wie
<audio>
und<video>
). Derzeit besteht der einzige Grund für die Unterstützung von Java in der Kompatibilität mit älteren Systemen, die wahrscheinlich sowieso inzwischen ausgemustert sein sollten.Warum sind Plugins wie Java eine Sicherheitsbedrohung? Denn die Geschichte hat bewiesen, dass es immer wieder Sicherheitslücken geben wird, die eine Vielzahl von Exploits ermöglichen. Es ist von Natur aus schwieriger, eine VM mit Java-Bytecode zu sichern, als eine interpretierte Skriptsprache wie JavaScript zu sandboxen. Schauen Sie sich diese Statistiken an .
Wie Sie sagen, ist es eine gute Praxis, Ihre Plugins auf dem neuesten Stand zu halten. Das reicht aber nicht. Erstens tun es viele Menschen nicht. Kürzlich wurde bekannt, dass selbst das schwedische Pendant zu NSA veraltete Java-Plugins mit bekannten Sicherheitslücken ausführte. Wenn sie es nicht richtig machen können, erwarten Sie, dass der durchschnittliche Heimanwender dies tut? Zweitens gibt es keine Möglichkeit, sich vor null Tagen zu schützen. Unabhängig davon, wie schnell Oracle Patches erstellt, sind Sie in Gefahr.
Selbst Oracle hat erkannt, dass die Ära der Java-Applets vorbei ist. Von Ars Technica (Jan 2016):
quelle