Mengapa plugin Java (JRE) dinonaktifkan di Chrome? Apakah ini masalah keamanan?
Dari situs web resmi Java:
Chrome tidak lagi mendukung NPAPI (teknologi yang diperlukan untuk applet Java) Java plug-in untuk browser web bergantung pada arsitektur plugin lintas platform NPAPI, yang telah didukung oleh semua browser web utama selama lebih dari satu dekade. Google Chrome versi 45 (dijadwalkan untuk rilis pada September 2015) menjatuhkan dukungan untuk NPAPI, memengaruhi plugin untuk Silverlight, Java, Video Facebook dan plugin berbasis NPAPI serupa lainnya.
Tapi ada yang tahu kenapa? Bagaimana ini bisa berbahaya bagi pengguna Chrome dengan versi Java JRE terinstal?
google-chrome
java
Michał Kuliński
sumber
sumber
Jawaban:
Mengapa Java dinonaktifkan di Chrome? Apakah ini masalah keamanan?
Alasan yang mendorong penonaktifan NPAPI, dan karenanya Java, termasuk yang berikut menurut Chromium Blog:
catatan:
Firefox juga menjatuhkan dukungan untuk NPAPI - Lihat Plugin NPAPI di Firefox :
Bagaimana itu bisa berbahaya bagi pengguna Chrome dengan versi Java JRE terinstal?
Jawaban singkat: Eksploitasi Nol Hari.
...
Baca sisa artikel untuk penjelasan dan komentar terperinci.
Sumber Mengapa Kerentanan Java Salah Satu Lubang Keamanan Terbesar di Komputer Anda?
Penghitungan Akhir untuk NPAPI
Sumber Countdown Terakhir untuk NPAPI
Ucapkan Selamat Tinggal pada Teman Lama Kami NPAPI
Sumber Ucapkan Selamat Tinggal pada Teman Lama Kami NPAPI
sumber
Seperti dijelaskan oleh Google , Netscape Plug-in API (NPAPI) diperlukan di awal-awal peramban web untuk memperluas fitur-fiturnya. Sayangnya, itu memberikan akses ke mesin yang mendasarinya. Jadi, jika plugin berisi kerentanan dan penyerang mengeksploitasinya, penyerang memotong kotak pasir peramban dan memiliki akses ke mesin.
Vektor serangan semacam itu telah banyak digunakan di masa lalu untuk menginfeksi mesin, yang mengarah pada saran yang mengatakan bahwa Anda harus menonaktifkan Java pada browser Anda. Banyak fitur yang disediakan oleh plugin Java sekarang disertakan oleh browser itu sendiri (misalnya HTML5) dengan kinerja dan keamanan yang lebih baik atau dengan ekstensi yang berjalan di kotak pasir (misalnya NaCL ). Itu sebabnya keputusan untuk tidak lagi mendukung plugin Java telah dibuat: risiko tinggi, tetapi tidak ada kebutuhan nyata untuk itu.
sumber
Untuk waktu yang lama telah ada langkah menjauh dari Jawa, bersama dengan plugin lain seperti Flash atau Silverlight, di web. Salah satu tujuan dengan HTML5 adalah untuk membuat kerangka kerja di mana plugin tidak diperlukan (karenanya tag suka
<audio>
dan<video>
). Sekarang satu-satunya alasan untuk mendukung Java adalah untuk kompatibilitas dengan sistem warisan yang mungkin sudah pensiun sekarang.Jadi mengapa plugin seperti Java merupakan ancaman keamanan? Karena sejarah telah membuktikan bahwa akan selalu ada lubang keamanan yang stabil yang memungkinkan banyak eksploitasi. Secara inheren lebih sulit untuk mengamankan VM yang menjalankan bytecode Java daripada mem-sandbox bahasa skrip yang ditafsirkan seperti JavaScript. Lihatlah statistik ini .
Seperti yang Anda katakan, itu adalah praktik yang baik untuk menjaga plugin Anda diperbarui. Tetapi itu tidak cukup. Pertama, banyak orang tidak. Baru-baru ini terungkap bahwa bahkan padanan NSA Swedia menjalankan plugin Java yang sudah usang dengan kerentanan keamanan yang diketahui. Jika mereka tidak bisa melakukannya dengan benar, apakah Anda mengharapkan pengguna rumahan rata-rata melakukannya? Kedua, tidak mungkin Anda bisa melindungi diri dari nol hari. Tidak peduli seberapa cepat Oracle menghasilkan tambalan, Anda akan menghadapi risiko.
Bahkan Oracle telah mengakui bahwa era applet Java telah berakhir. Dari Ars Technica (Jan 2016):
sumber