¿Por qué está deshabilitado el complemento Java (JRE) en Chrome?

40

¿Por qué el complemento Java (JRE) está deshabilitado en Chrome? ¿Es alguna preocupación de seguridad?

Desde el sitio web oficial de Java:

Chrome ya no es compatible con NPAPI (tecnología requerida para los applets de Java) El complemento de Java para navegadores web se basa en la arquitectura de complementos multiplataforma NPAPI, que ha sido compatible con todos los principales navegadores web durante más de una década. La versión 45 de Chrome de Google (programada para su lanzamiento en septiembre de 2015) deja de admitir NPAPI, lo que afecta los complementos para Silverlight, Java, Facebook Video y otros complementos similares basados ​​en NPAPI.

¿Pero alguien sabe por qué? ¿Cómo podría ser peligroso para el usuario de Chrome con la última versión de Java JRE instalada?

google-chrome java Michał Kuliński
fuente
1
Cuando publique presupuestos, incluya un enlace a la fuente en el futuro.
8
Ha respondido su pregunta: porque el complemento de Java usa NPAPI y Chrome ya no lo admite.
gronostaj
77
Aunque la razón oficial suena bien, mi sospecha personal es que las consecuencias entre Google y Oracle sobre Android tuvieron mucho más que ver de lo que nadie quiere admitir.
Devsman
2
¿Por qué Java deshabilitado? en primer lugar "¿por qué Flash y Java están habilitados?" A menos que confíe mucho en un sitio, incluso deshabilito Javascript (bueno, en realidad tengo un atajo de escritorio para el navegador sin Javascript)
GameDeveloper
1
@Devsman Si fuera solo Java, su argumento podría ser plausible, pero Google busca todos los complementos (y también Mozilla). Silverlight, Acrobat Reader, shockwave, unity, quicktime, jugador real, etc., todos han sido golpeados por el mismo martillo de prohibición. Todos fueron ampliamente instalados y al menos ocasionalmente utilizados por un gran número de personas a lo largo de los años. Todo proporcionó cosas que no se podían hacer en el navegador directamente hace 5-20 años; pero que son factibles por intrínsecos del navegador o HTML5 directamente en estos días ...
Dan Neely

Respuestas:

59

¿Por qué está deshabilitado Java en Chrome? ¿Es alguna preocupación de seguridad?

Las razones que provocan la desactivación de NPAPI, y por lo tanto de Java, incluyen lo siguiente según el blog de Chromium:

  • Seguridad incrementada
  • Mayor velocidad
  • Mayor estabilidad
  • Reducción de la complejidad del código.
  • Reducción de accidentes
  • Reducción de cuelgues
  • Falta de soporte para dispositivos móviles

Nota:

  • Firefox también está dejando de admitir NPAPI. Consulte Complementos de NPAPI en Firefox :

    Los complementos son una fuente de problemas de rendimiento, bloqueos e incidentes de seguridad para los usuarios de la Web.

    Mozilla tiene la intención de eliminar el soporte para la mayoría de los complementos NPAPI en Firefox para finales de 2016.

¿Cómo podría ser peligroso para los usuarios de Chrome con la última versión de Java JRE instalada?

Respuesta corta: Exploits de día cero.

Otra fuente de vulnerabilidades es el hecho de que Java no ha lanzado un actualizador automático que no requiere intervención del usuario y derechos administrativos. Por ejemplo, Google Chrome y Flash Player tienen. Esta característica permite a los usuarios obtener actualizaciones automáticas sin que se les solicite tomar medidas, lo que facilita las actualizaciones.

Por falta de un sistema de actualizaciones automáticas, muchos usuarios ignoran las actualizaciones de Java e incluso temen instalarlas, debido al malware que usó las actualizaciones de Java como un vector de infección en el pasado o experiencias similares.

Solo sepa que todas estas vulnerabilidades son las que prosperan los ciberdelincuentes.

...

Los datos extraídos de nuestra propia base de datos confirman que Java es la segunda mayor vulnerabilidad de seguridad que requiere parches constantes, después del complemento Flash de Adobe.

Solo en 2015, ya hemos implementado parches 105925 para Java Runtime Environment para nuestros clientes.

ingrese la descripción de la imagen aquí

Lea el resto del artículo para obtener una explicación detallada y comentarios.

Fuente ¿Por qué las vulnerabilidades de Java son uno de los mayores agujeros de seguridad en su computadora?

La cuenta regresiva final para NPAPI

En septiembre pasado, anunciamos nuestro plan para eliminar el soporte NPAPI de Chrome, un cambio que mejorará la seguridad, la velocidad y la estabilidad de Chrome, así como reducirá la complejidad en la base del código.

Fuente La cuenta regresiva final para NPAPI

Decir adiós a nuestro viejo amigo NPAPI

La arquitectura de los años 90 de NPAPI se ha convertido en una causa principal de bloqueos, bloqueos, incidentes de seguridad y complejidad del código. Debido a esto, Chrome eliminará gradualmente el soporte de NPAPI durante el próximo año. Creemos que la web está lista para esta transición. NPAPI no es compatible con dispositivos móviles, y Mozilla planea hacer todos los complementos excepto la versión actual de Flash de reproducción por clic de forma predeterminada.

Fuente diciendo adiós a nuestro viejo amigo NPAPI

DavidPostill
fuente
47
El instalador de Java en es un vector para crapware también. La actualización diaria de seguridad de Java requiere que revise cada página del instalador para asegurarse de que Oracle no haya incluido algún nuevo paquete de MacAffee.
2
@JS. Tal vez me estoy perdiendo algo, pero personalmente nunca he visto que el instalador de Java ofrezca instalar nada más que Java. ¿Razón real por la que Google desactiva Java? Google no quiere que los desarrolladores escriban software para nada más que sobre lo que tienen control.
Malcolm
14
@Malcom: echa otro vistazo. java.com le dice cómo deshabilitar las ofertas de patrocinador; por lo tanto, incluyen ofertas de patrocinadores que las personas desean deshabilitar. java.com/en/download/faq/disable_offers.xml
Ross Presser
3
@RossPresser si descargas de Oracle no obtienes las ofertas del patrocinador.
DavidPostill
77
@Malcolm desde 2011-2015, el instalador oficial de Java de Oracle incluyó esto: java.com/ga/images/en/ask_offer.jpg
hobbs
4

Según lo explicado por Google , la API del complemento de Netscape (NPAPI) era necesaria en los primeros días de los navegadores web para ampliar sus funciones. Desafortunadamente, proporcionó acceso a la máquina subyacente. Por lo tanto, si el complemento contenía una vulnerabilidad y un atacante la explotaba, el atacante omitía el entorno limitado del navegador y tenía acceso a la máquina.

Tales vectores de ataque se han usado mucho en el pasado para infectar máquinas, lo que lleva al consejo que dice que debe deshabilitar Java en su navegador. Muchas características proporcionadas por los complementos de Java ahora están incluidas en el navegador (por ejemplo, HTML5) con mejor rendimiento y seguridad o con extensiones que se ejecutan en un entorno limitado (por ejemplo, NaCL ). Es por eso que se tomó la decisión de dejar de admitir los complementos de Java: alto riesgo, pero no es realmente necesario.

Ronny
fuente
2

Durante mucho tiempo se ha alejado de Java, junto con otros complementos como Flash o Silverlight, en la web. Uno de los objetivos con HTML5 era crear un marco en el que no se necesitan complementos (por lo tanto, etiquetas como <audio>y <video>). Por ahora, la única razón para admitir Java es la compatibilidad con sistemas heredados que probablemente ya deberían haberse retirado de todos modos.

Entonces, ¿por qué los complementos como Java son una amenaza para la seguridad? Porque la historia ha demostrado que siempre habrá un flujo constante de agujeros de seguridad que permitirán una multitud de exploits. Es intrínsecamente más difícil asegurar una máquina virtual que ejecute el código de bytes de Java que proteger un lenguaje de script interpretado como JavaScript. Solo eche un vistazo a estas estadísticas .

Como usted dice, es una buena práctica mantener actualizados sus complementos. Pero eso no es suficiente. Primero, mucha gente no. Recientemente se reveló que incluso el equivalente sueco de NSA ejecutaba complementos de Java obsoletos con vulnerabilidades de seguridad conocidas. Si no pueden hacerlo bien, ¿espera que el usuario doméstico promedio lo haga? En segundo lugar, no hay forma de protegerse de cero días. No importa qué tan rápido Oracle produzca parches, usted estará en riesgo.

Incluso Oracle ha reconocido que la era de los applets de Java ha terminado. De Ars Technica (enero de 2016):

Oracle eliminará el muy difamado plugin de navegador de Java, fuente de tantos defectos de seguridad a lo largo de los años. No será llorado.

Oracle, que adquirió Java como parte de su compra en 2010 de Sun Microsystems, ha anunciado que el complemento quedará obsoleto en la próxima versión de Java, versión 9, que actualmente está disponible como una versión beta de acceso temprano. Una versión futura lo eliminará por completo.


fuente