为什么在Chrome中禁用Java插件(JRE)?

40

为什么Chrome中禁用了Java插件(JRE)?这是一些安全问题?

来自Java官方网站:

Chrome不再支持NPAPI(Java applet所需的技术)Web浏览器的Java插件依赖于跨平台插件架构NPAPI,已经被所有主流Web浏览器支持了十多年。谷歌Chrome版本45(计划于2015年9月发布)放弃了对NPAPI的支持,影响了Silverlight,Java,Facebook Video和其他类似基于NPAPI的插件的插件。

但谁知道为什么?对于安装了最新版Java JRE的Chrome用户来说,这可能会有什么危险?

google-chrome  java 
MichałKuliński
source
1
在发布报价时,请在将来包含指向来源的链接。
8
您已回答了以下问题:因为Java插件使用NPAPI而Chrome不再支持它。
gronostaj 2016年
7
虽然官方的理由听起来不错,但我个人的怀疑是谷歌与甲骨文之间的影响与Android有关,这比任何人都想承认的要多得多。
Devsman 2016年
2
为何禁用Java?首先,“为什么启用Flash和Java?” 除非我非常信任一个网站,我甚至禁用了Javascript(实际上我没有Javascript浏览器的桌面快捷方式)
GameDeveloper 2016年
1
@Devsman如果它只是Java,你的论点可能是合理的,但谷歌正在追求所有插件(Mozilla也是如此)。Silverlight,Acrobat Reader,冲击波,团结,快速时间,真实播放器等等都受到了同样的禁令。它们都被广泛安装,并且至少偶尔被大量人员使用。所有提供的东西都是5 - 20年前在浏览器中无法完成的; 但这些日子直接可以通过浏览器内在函数或HTML5来实现...
Dan Neely 2016年

Answers:

61

为什么在Chrome中禁用Java?这是一些安全问题?

根据Chromium博客,导致禁用NPAPI以及Java的原因包括以下内容:

  • 提高安全性
  • 提高速度
  • 增加稳定性
  • 降低代码复杂性
  • 减少崩溃
  • 减少挂起
  • 缺乏对移动设备的支持

注意:

  • Firefox也放弃了对NPAPI的支持 - 请参阅Firefox中的NPAPI插件

    插件是Web用户的性能问题,崩溃和安全事件的来源。

    Mozilla打算在2016年底之前删除对Firefox中大多数NPAPI插件的支持。

如果安装了最新版本的Java JRE的Chrome用户会如何危险?

简短回答:零日漏洞。

另一个漏洞来源是Java尚未发布不需要用户干预和管理权限的自动更新程序。例如,Google Chrome和Flash Player都有。此功能允许用户获得自动更新,而不会提示您采取操作,从而使更新更容易。

由于缺乏自动更新系统,许多用户忽略了Java更新,甚至担心安装它们,因为过去使用Java更新作为感染向量或类似经历的恶意软件。

要知道所有这些漏洞都是网络罪犯茁壮成长的原因。

...

从我们自己的数据库中提取的数据证实,在Adobe的Flash插件之后,Java是第二大安全漏洞,需要不断修补。

仅在2015年,我们已经为客户部署了105925个Java Runtime Environment补丁。

在此输入图像描述

阅读本文的其余部分,以获得详细的解释和评论。

来源为什么Java的漏洞是计算机上最大的安全漏洞之一?

NPAPI的最终倒计时

去年9月,我们宣布了从Chrome中删除NPAPI支持的计划,这一改变将提高Chrome的安全性,速度和稳定性,并降低代码库的复杂性。

来源NPAPI的最终倒计时

跟我们的老朋友NPAPI说再见

NPAPI的90年代架构已经成为导致挂起,崩溃,安全事件和代码复杂性的主要原因。因此,Chrome将在未来一年逐步取消对NPAPI的支持。我们认为网络已为此过渡做好准备。移动设备不支持NPAPI,Mozilla计划默认制作除当前版本的Flash点击播放之外的所有插件。

消息来源告别我们的老朋友NPAPI

DavidPostill
source
47
Java 安装程序本身也是crapware的矢量。每日Java安全更新要求您梳理安装程序的每个页面,以确保Oracle没有捆绑在一些新的MacAffee craplet中。
2
@JS。也许我错过了一些东西,但我个人从未见过Java安装程序提供安装Java以外的任何东西。谷歌禁用Java的真正原因是什么?谷歌不希望开发人员为他们控制的任何东西编写软件。
马尔科姆
14
@Malcom:再看看。java.com告诉你如何禁用赞助商优惠; 因此,他们包括人们希望禁用的赞助商优惠。java.com/en/download/faq/disable_offers.xml
Ross Presser
3
@RossPresser,如果你从oracle下载,你没有得到赞助商的优惠。
DavidPostill
7
@Malcolm从2011 - 2015年从Oracle官方的Java安装包含在此:java.com/ga/images/en/ask_offer.jpg
霍布斯
4

正如谷歌解释的那样,网络浏览器早期需要Netscape插件API(NPAPI)来扩展其功能。不幸的是,它提供了对底层机器的访问。因此,如果插件包含漏洞并且攻击者利用它,则攻击者绕过浏览器的沙盒并访问该计算机。

过去,这种攻击媒介已经被大量用于感染机器,因此建议您应该在浏览器上禁用Java。Java插件提供的许多功能现在都包含在浏览器本身(例如HTML5)中,具有更好的性能和安全性,或者在沙箱中运行扩展(例如NaCL)。这就是为什么不再支持Java插件的决定:高风险,但没有真正需要它。

罗尼
source
2

很长一段时间以来,网络上已经不再使用Java,还有其他插件,如Flash或Silverlight。HTML5的目标之一是创建一个不需要插件的框架(因此标签就像<audio><video>)。到目前为止,支持Java的唯一原因是与遗留系统的兼容性,这些系统现在可能已经退役了。

那么为什么像Java这样的插件会成为安全威胁呢?因为历史已经证明,将始终存在源源不断的安全漏洞,从而可以获得大量漏洞。保护运行Java字节码的VM本身比使用像JavaScript这样的解释脚本语言沙箱本身更难。看看这些统计数据吧

正如您所说,保持插件更新是一个好习惯。但这还不够。首先,很多人没有。最近发现,即使瑞典相当于NSA,也运行了已知安全漏洞的过时Java插件。如果他们无法做到正确,您是否希望普通家庭用户这样做?其次,你无法保护自己免受零日伤害。无论Oracle如何快速生成补丁,您都将面临风险。

甚至甲骨文也承认Java小程序的时代已经结束。来自Ars Technica(2016年1月):

备受诟病的Java浏览器插件是多年来出现如此众多安全漏洞的源头,它将被甲骨文扼杀。它不会被哀悼。

Oracle在2010年收购Sun Microsystems时收购了Java,并宣布该Java插件将在下一版Java 9中弃用,该版本目前作为早期访问测试版提供。未来版本将完全删除它。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.