Mengapa plugin Java (JRE) dinonaktifkan di Chrome?

40

Mengapa plugin Java (JRE) dinonaktifkan di Chrome? Apakah ini masalah keamanan?

Dari situs web resmi Java:

Chrome tidak lagi mendukung NPAPI (teknologi yang diperlukan untuk applet Java) Java plug-in untuk browser web bergantung pada arsitektur plugin lintas platform NPAPI, yang telah didukung oleh semua browser web utama selama lebih dari satu dekade. Google Chrome versi 45 (dijadwalkan untuk rilis pada September 2015) menjatuhkan dukungan untuk NPAPI, memengaruhi plugin untuk Silverlight, Java, Video Facebook dan plugin berbasis NPAPI serupa lainnya.

Tapi ada yang tahu kenapa? Bagaimana ini bisa berbahaya bagi pengguna Chrome dengan versi Java JRE terinstal?

Michał Kuliński
sumber
1
Saat memposting kutipan, harap sertakan tautan ke sumber di masa mendatang.
8
Anda telah menjawab pertanyaan Anda: karena plugin Java menggunakan NPAPI dan Chrome tidak lagi mendukungnya.
gronostaj
7
Meskipun alasan resmi kedengarannya bagus, kecurigaan pribadi saya adalah bahwa dampak antara Google dan Oracle lebih dari Android lebih terkait dengan hal itu daripada yang ingin diakui oleh siapa pun.
Devsman
2
Mengapa Java dinonaktifkan? di tempat pertama "mengapa Flash dan Java diaktifkan?" Kecuali saya sangat mempercayai situs saya bahkan menonaktifkan Javascript (sebenarnya saya punya jalan pintas desktop untuk browser tanpa Javascript)
GameDeveloper
1
@Devsman Jika itu hanya Java, argumen Anda mungkin masuk akal, tetapi Google mengejar semua plugin (dan begitu juga Mozilla). Silverlight, Acrobat Reader, shockwave, unity, quicktime, real player, dll. Semuanya telah terkena hammer larangan yang sama. Mereka semua dipasang secara luas dan setidaknya kadang-kadang digunakan oleh banyak orang selama bertahun-tahun. Semua menyediakan hal-hal yang tidak dapat dilakukan di browser secara langsung 5-20 tahun yang lalu; tetapi yang bisa dilakukan oleh intrinsik browser atau HTML5 langsung hari ini ...
Dan Neely

Jawaban:

59

Mengapa Java dinonaktifkan di Chrome? Apakah ini masalah keamanan?

Alasan yang mendorong penonaktifan NPAPI, dan karenanya Java, termasuk yang berikut menurut Chromium Blog:

  • Keamanan meningkat
  • Kecepatan meningkat
  • Stabilitas yang meningkat
  • Pengurangan dalam kompleksitas kode
  • Pengurangan crash
  • Pengurangan hang
  • Kurangnya dukungan untuk perangkat seluler

catatan:

  • Firefox juga menjatuhkan dukungan untuk NPAPI - Lihat Plugin NPAPI di Firefox :

    Plugin adalah sumber masalah kinerja, gangguan, dan insiden keamanan untuk pengguna Web.

    Mozilla bermaksud untuk menghapus dukungan untuk sebagian besar plugin NPAPI di Firefox pada akhir 2016.


Bagaimana itu bisa berbahaya bagi pengguna Chrome dengan versi Java JRE terinstal?

Jawaban singkat: Eksploitasi Nol Hari.

Sumber lain untuk kerentanan adalah fakta bahwa Java belum merilis pembaruan otomatis yang tidak memerlukan intervensi pengguna dan hak administratif. Misalnya, Google Chrome dan Flash Player miliki. Fitur ini memungkinkan pengguna untuk mendapatkan pembaruan otomatis tanpa diminta untuk mengambil tindakan, membuat pembaruan menjadi lebih mudah.

Karena kurangnya sistem pembaruan otomatis, banyak pengguna mengabaikan pembaruan Java dan bahkan takut menginstalnya, karena malware yang menggunakan pembaruan Java sebagai vektor infeksi di masa lalu atau pengalaman serupa.

Ketahuilah bahwa semua kerentanan ini adalah penyebab berkembangnya penjahat cyber.

...

Data yang diekstrak dari basis data kami sendiri mengonfirmasi bahwa Java adalah kerentanan keamanan terbesar kedua yang memerlukan patching konstan, setelah plugin Adobe's Flash.

Pada tahun 2015 saja, kami telah menerapkan 105925 tambalan untuk Java Runtime Environment untuk klien kami.

masukkan deskripsi gambar di sini

Baca sisa artikel untuk penjelasan dan komentar terperinci.

Sumber Mengapa Kerentanan Java Salah Satu Lubang Keamanan Terbesar di Komputer Anda?


Penghitungan Akhir untuk NPAPI

September lalu kami mengumumkan rencana kami untuk menghapus dukungan NPAPI dari Chrome, perubahan yang akan meningkatkan keamanan, kecepatan, dan stabilitas Chrome serta mengurangi kompleksitas dalam basis kode.

Sumber Countdown Terakhir untuk NPAPI


Ucapkan Selamat Tinggal pada Teman Lama Kami NPAPI

Arsitektur era 90-an NPAPI telah menjadi penyebab utama hang, crash, insiden keamanan, dan kompleksitas kode. Karena itu, Chrome akan menghapus dukungan NPAPI selama tahun mendatang. Kami merasa web siap untuk transisi ini. NPAPI tidak didukung di perangkat seluler, dan Mozilla berencana untuk membuat semua plug-in kecuali versi Flash saat ini untuk bermain secara default.

Sumber Ucapkan Selamat Tinggal pada Teman Lama Kami NPAPI

DavidPostill
sumber
47
Pemasang Java itu sendiri adalah vektor untuk crapware juga. Pembaruan keamanan Java setiap hari mengharuskan Anda menyisir setiap halaman penginstal untuk memastikan Oracle tidak disertakan dalam beberapa craplet MacAffee baru.
2
@ JS. Mungkin saya kehilangan sesuatu tetapi secara pribadi saya belum pernah melihat installer Java menawarkan untuk menginstal selain Java. Alasan sebenarnya mengapa Google menonaktifkan Java? Google tidak ingin pengembang menulis perangkat lunak untuk hal lain selain apa yang mereka kendalikan.
Malcolm
14
@ Malcom: coba lihat lagi. java.com memberi tahu Anda cara menonaktifkan penawaran sponsor; oleh karena itu, mereka termasuk penawaran sponsor yang ingin dinonaktifkan orang. java.com/en/download/faq/disable_offers.xml
Ross Presser
3
@RossPresser jika Anda mengunduh dari oracle Anda tidak mendapatkan penawaran sponsor.
DavidPostill
7
@Malcolm dari 2011-2015 resmi installer Java dari Oracle termasuk ini: java.com/ga/images/en/ask_offer.jpg
Hobbs
4

Seperti dijelaskan oleh Google , Netscape Plug-in API (NPAPI) diperlukan di awal-awal peramban web untuk memperluas fitur-fiturnya. Sayangnya, itu memberikan akses ke mesin yang mendasarinya. Jadi, jika plugin berisi kerentanan dan penyerang mengeksploitasinya, penyerang memotong kotak pasir peramban dan memiliki akses ke mesin.

Vektor serangan semacam itu telah banyak digunakan di masa lalu untuk menginfeksi mesin, yang mengarah pada saran yang mengatakan bahwa Anda harus menonaktifkan Java pada browser Anda. Banyak fitur yang disediakan oleh plugin Java sekarang disertakan oleh browser itu sendiri (misalnya HTML5) dengan kinerja dan keamanan yang lebih baik atau dengan ekstensi yang berjalan di kotak pasir (misalnya NaCL ). Itu sebabnya keputusan untuk tidak lagi mendukung plugin Java telah dibuat: risiko tinggi, tetapi tidak ada kebutuhan nyata untuk itu.

Ronny
sumber
2

Untuk waktu yang lama telah ada langkah menjauh dari Jawa, bersama dengan plugin lain seperti Flash atau Silverlight, di web. Salah satu tujuan dengan HTML5 adalah untuk membuat kerangka kerja di mana plugin tidak diperlukan (karenanya tag suka <audio>dan <video>). Sekarang satu-satunya alasan untuk mendukung Java adalah untuk kompatibilitas dengan sistem warisan yang mungkin sudah pensiun sekarang.

Jadi mengapa plugin seperti Java merupakan ancaman keamanan? Karena sejarah telah membuktikan bahwa akan selalu ada lubang keamanan yang stabil yang memungkinkan banyak eksploitasi. Secara inheren lebih sulit untuk mengamankan VM yang menjalankan bytecode Java daripada mem-sandbox bahasa skrip yang ditafsirkan seperti JavaScript. Lihatlah statistik ini .

Seperti yang Anda katakan, itu adalah praktik yang baik untuk menjaga plugin Anda diperbarui. Tetapi itu tidak cukup. Pertama, banyak orang tidak. Baru-baru ini terungkap bahwa bahkan padanan NSA Swedia menjalankan plugin Java yang sudah usang dengan kerentanan keamanan yang diketahui. Jika mereka tidak bisa melakukannya dengan benar, apakah Anda mengharapkan pengguna rumahan rata-rata melakukannya? Kedua, tidak mungkin Anda bisa melindungi diri dari nol hari. Tidak peduli seberapa cepat Oracle menghasilkan tambalan, Anda akan menghadapi risiko.

Bahkan Oracle telah mengakui bahwa era applet Java telah berakhir. Dari Ars Technica (Jan 2016):

Plugin browser Java yang banyak difitnah, sumber dari begitu banyak kelemahan keamanan selama bertahun-tahun, harus dibunuh oleh Oracle. Itu tidak akan diratapi.

Oracle, yang mengakuisisi Java sebagai bagian dari pembelian Sun Microsystems 2010, telah mengumumkan bahwa plugin tersebut akan ditinggalkan dalam rilis Java berikutnya, versi 9, yang saat ini tersedia sebagai beta akses awal. Rilis di masa depan akan sepenuhnya menghapusnya.


sumber