Mengapa plugin Java (JRE) dinonaktifkan di Chrome?

Mengapa plugin Java (JRE) dinonaktifkan di Chrome? Apakah ini masalah keamanan?

Dari situs web resmi Java:

Chrome tidak lagi mendukung NPAPI (teknologi yang diperlukan untuk applet Java) Java plug-in untuk browser web bergantung pada arsitektur plugin lintas platform NPAPI, yang telah didukung oleh semua browser web utama selama lebih dari satu dekade. Google Chrome versi 45 (dijadwalkan untuk rilis pada September 2015) menjatuhkan dukungan untuk NPAPI, memengaruhi plugin untuk Silverlight, Java, Video Facebook dan plugin berbasis NPAPI serupa lainnya.

Tapi ada yang tahu kenapa? Bagaimana ini bisa berbahaya bagi pengguna Chrome dengan versi Java JRE terinstal?

Mengapa Java dinonaktifkan di Chrome? Apakah ini masalah keamanan?

Alasan yang mendorong penonaktifan NPAPI, dan karenanya Java, termasuk yang berikut menurut Chromium Blog:

• Keamanan meningkat
• Kecepatan meningkat
• Stabilitas yang meningkat
• Pengurangan dalam kompleksitas kode
• Pengurangan crash
• Pengurangan hang
• Kurangnya dukungan untuk perangkat seluler

catatan:

• Firefox juga menjatuhkan dukungan untuk NPAPI - Lihat Plugin NPAPI di Firefox :

  Plugin adalah sumber masalah kinerja, gangguan, dan insiden keamanan untuk pengguna Web.

  Mozilla bermaksud untuk menghapus dukungan untuk sebagian besar plugin NPAPI di Firefox pada akhir 2016.

Bagaimana itu bisa berbahaya bagi pengguna Chrome dengan versi Java JRE terinstal?

Jawaban singkat: Eksploitasi Nol Hari.

Sumber lain untuk kerentanan adalah fakta bahwa Java belum merilis pembaruan otomatis yang tidak memerlukan intervensi pengguna dan hak administratif. Misalnya, Google Chrome dan Flash Player miliki. Fitur ini memungkinkan pengguna untuk mendapatkan pembaruan otomatis tanpa diminta untuk mengambil tindakan, membuat pembaruan menjadi lebih mudah.

Karena kurangnya sistem pembaruan otomatis, banyak pengguna mengabaikan pembaruan Java dan bahkan takut menginstalnya, karena malware yang menggunakan pembaruan Java sebagai vektor infeksi di masa lalu atau pengalaman serupa.

Ketahuilah bahwa semua kerentanan ini adalah penyebab berkembangnya penjahat cyber.

...

Data yang diekstrak dari basis data kami sendiri mengonfirmasi bahwa Java adalah kerentanan keamanan terbesar kedua yang memerlukan patching konstan, setelah plugin Adobe's Flash.

Pada tahun 2015 saja, kami telah menerapkan 105925 tambalan untuk Java Runtime Environment untuk klien kami.

Baca sisa artikel untuk penjelasan dan komentar terperinci.

Sumber Mengapa Kerentanan Java Salah Satu Lubang Keamanan Terbesar di Komputer Anda?

Penghitungan Akhir untuk NPAPI

September lalu kami mengumumkan rencana kami untuk menghapus dukungan NPAPI dari Chrome, perubahan yang akan meningkatkan keamanan, kecepatan, dan stabilitas Chrome serta mengurangi kompleksitas dalam basis kode.

Sumber Countdown Terakhir untuk NPAPI

Ucapkan Selamat Tinggal pada Teman Lama Kami NPAPI

Arsitektur era 90-an NPAPI telah menjadi penyebab utama hang, crash, insiden keamanan, dan kompleksitas kode. Karena itu, Chrome akan menghapus dukungan NPAPI selama tahun mendatang. Kami merasa web siap untuk transisi ini. NPAPI tidak didukung di perangkat seluler, dan Mozilla berencana untuk membuat semua plug-in kecuali versi Flash saat ini untuk bermain secara default.

Sumber Ucapkan Selamat Tinggal pada Teman Lama Kami NPAPI

Seperti dijelaskan oleh Google , Netscape Plug-in API (NPAPI) diperlukan di awal-awal peramban web untuk memperluas fitur-fiturnya. Sayangnya, itu memberikan akses ke mesin yang mendasarinya. Jadi, jika plugin berisi kerentanan dan penyerang mengeksploitasinya, penyerang memotong kotak pasir peramban dan memiliki akses ke mesin.

Vektor serangan semacam itu telah banyak digunakan di masa lalu untuk menginfeksi mesin, yang mengarah pada saran yang mengatakan bahwa Anda harus menonaktifkan Java pada browser Anda. Banyak fitur yang disediakan oleh plugin Java sekarang disertakan oleh browser itu sendiri (misalnya HTML5) dengan kinerja dan keamanan yang lebih baik atau dengan ekstensi yang berjalan di kotak pasir (misalnya NaCL ). Itu sebabnya keputusan untuk tidak lagi mendukung plugin Java telah dibuat: risiko tinggi, tetapi tidak ada kebutuhan nyata untuk itu.

Untuk waktu yang lama telah ada langkah menjauh dari Jawa, bersama dengan plugin lain seperti Flash atau Silverlight, di web. Salah satu tujuan dengan HTML5 adalah untuk membuat kerangka kerja di mana plugin tidak diperlukan (karenanya tag suka <audio>dan <video>). Sekarang satu-satunya alasan untuk mendukung Java adalah untuk kompatibilitas dengan sistem warisan yang mungkin sudah pensiun sekarang.

Jadi mengapa plugin seperti Java merupakan ancaman keamanan? Karena sejarah telah membuktikan bahwa akan selalu ada lubang keamanan yang stabil yang memungkinkan banyak eksploitasi. Secara inheren lebih sulit untuk mengamankan VM yang menjalankan bytecode Java daripada mem-sandbox bahasa skrip yang ditafsirkan seperti JavaScript. Lihatlah statistik ini .

Seperti yang Anda katakan, itu adalah praktik yang baik untuk menjaga plugin Anda diperbarui. Tetapi itu tidak cukup. Pertama, banyak orang tidak. Baru-baru ini terungkap bahwa bahkan padanan NSA Swedia menjalankan plugin Java yang sudah usang dengan kerentanan keamanan yang diketahui. Jika mereka tidak bisa melakukannya dengan benar, apakah Anda mengharapkan pengguna rumahan rata-rata melakukannya? Kedua, tidak mungkin Anda bisa melindungi diri dari nol hari. Tidak peduli seberapa cepat Oracle menghasilkan tambalan, Anda akan menghadapi risiko.

Bahkan Oracle telah mengakui bahwa era applet Java telah berakhir. Dari Ars Technica (Jan 2016):

Plugin browser Java yang banyak difitnah, sumber dari begitu banyak kelemahan keamanan selama bertahun-tahun, harus dibunuh oleh Oracle. Itu tidak akan diratapi.

Oracle, yang mengakuisisi Java sebagai bagian dari pembelian Sun Microsystems 2010, telah mengumumkan bahwa plugin tersebut akan ditinggalkan dalam rilis Java berikutnya, versi 9, yang saat ini tersedia sebagai beta akses awal. Rilis di masa depan akan sepenuhnya menghapusnya.