Pourquoi le plugin Java (JRE) est désactivé sur Chrome?

Pourquoi le plugin Java (JRE) est désactivé sur Chrome? C'est une préoccupation pour la sécurité?

Du site officiel de Java:

Chrome ne prend plus en charge NPAPI (technologie requise pour les applets Java) Le plug-in Java pour les navigateurs s'appuie sur l'architecture multiplate-forme NPAPI, qui a été soutenue par tous les principaux navigateurs Web depuis plus d'une décennie. Google Chrome version 45 (programmé pour la sortie en septembre 2015) supprime le support de NPAPI, impliquant des plugins pour Silverlight, Java, Facebook Video et d'autres plugins analogiques basés sur NPAPI.

Mais quelqu'un sait pourquoi? Comment cela pourrait-il être dangereux pour les utilisateurs de Chrome avec la dernière version de Java JRE installée?

Pourquoi Java est-il désactivé sur Chrome? C'est une préoccupation pour la sécurité?

Les raisons qui motivent la désactivation de NPAPI, et donc Java, sont les suivantes selon le Blog Chromium:

  • Sécurité accrue
  • Vitesse accrue
  • Stabilité accrue
  • Réduction de la complexité du code
  • Réduction des accidents
  • Réduction des blocages
  • Manque de support pour les appareils mobiles

Remarque:

  • Firefox supprime aussi le NPAPI – Voir NPAPI Plugins dans Firefox :

    Les plugins sont une source de problèmes de performance, de collisions et d'incidents de sécurité pour les utilisateurs Web.

    Mozilla a l'intention d'enlever le support pour la plupart des plugins NPAPI dans Firefox d'ici la fin de 2016.


Comment cela pourrait-il être dangereux pour les utilisateurs de Chrome avec la dernière version de Java JRE installée?

Réponse courte: Zero Day Exploits.

Une autre source de vulnérabilité est le fait que Java n'a pas publié de mise à jour automatique qui ne requiert pas l'intervention de l'utilisateur et les droits administratifs. Par exemple, Google Chrome et Flash Player ont. Cette fonctionnalité permet aux utilisateurs d'obtenir des mises à jour automatiques sans être invité à prendre des mesures, faciliter les mises à jour.

Par manque d'un système de mise à jour automatique, de nombreux utilisateurs ignorent les mises à jour Java et craignent même de les installer, en raison de logiciels malveillants qui ont utilisé des mises à jour Java comme vecteur d'infection dans le passé ou des expériences similaires.

Il suffit de savoir que toutes ces vulnérabilités sont ce que les cybercriminels prospèrent.

Les données extraites de notre propre base de données confirment que Java est la deuxième plus grande vulnérabilité de sécurité qui nécessite un correctif constant, après le plugin Flash d'Adobe.

En 2015, nous avons déjà déployé 105925 correctifs pour Java Runtime Environment pour nos clients.

Entrez la description de l'image ici

Lisez le reste de l'article pour une explication et un commentaire détaillés.

Source Pourquoi les vulnérabilités de Java sont-elles l'un des plus gros trous de sécurité de votre ordinateur?


Le compte à rebours final pour NPAPI

En septembre dernier, nous avons annoncé notre plan visant à supprimer le support NPAPI de Chrome, un changement qui améliorerait la sécurité, la vitesse et la stabilité de Chrome ainsi que la complexité de la base de code.

Source Le compte à rebours final pour NPAPI


Dit au revoir à notre ancien NPAPI

L'architecture de l'automne des années 90 de NPAPI est devenue la principale cause de blocage, de collision, d'incidents de sécurité et de complexité de code. Pour cette raison, Chrome va éliminer progressivement le soutien NPAPI au cours de l'année à venir. Nous pensons que le web est prêt pour cette transition. NPAPI n'est pas pris en charge sur les appareils mobiles, et Mozilla prévoit de faire tous les plug-ins, à l'exception de la version actuelle de Flash click-to-play par défaut.

Source Dit au revoir à notre ancien ami NPAPI

Comme expliqué Google , l'API Netscape Plug-in (NPAPI) était nécessaire au début des navigateurs Web pour étendre leurs fonctionnalités. Malheureusement, il a donné accès à la machine sous-jacente. Ainsi, si le plugin contenait une vulnérabilité et un attaquant l'exploitaient, l'attaquant a contourné le sandbox du navigateur et a eu accès à la machine.

De tels vecteurs d'attaque ont été largement utilisés dans le passé pour infecter des machines, ce qui a amené le conseil à dire que vous devriez désactiver Java sur votre navigateur. De nombreuses fonctionnalités fournies par les plugins Java sont maintenant incluses par le navigateur lui-même (par exemple, HTML5) avec de meilleures performances et sécurité ou avec des extensions s'exécutant dans un bac à sable (par exemple, NaCL ). C'est pourquoi la décision de ne plus supporter les plugins Java a été réalisée: à risque élevé, mais aucun besoin réel n'est nécessaire.

Pendant longtemps, il y a eu un déplacement de Java, ainsi que d'autres plugins comme Flash ou Silverlight, sur le Web. L'un des objectifs avec HTML5 était de créer un cadre où les plugins ne sont pas nécessaires (par exemple, les balises comme <audio> et <video> ). À l'heure actuelle, la seule raison de soutenir Java est compatible avec les systèmes existants qui auraient probablement été retirés à ce jour de toute façon.

Alors, pourquoi les plugins comme Java sont-ils une menace pour la sécurité? Parce que l'histoire a prouvé qu'il y aura toujours un flux régulier de trous de sécurité permettant une multitude d'exploits. Il est tout simplement intrinsèquement plus difficile de sécuriser une machine virtuelle utilisant un bytecode Java qu'il ne s'agit de sandbox d'un langage de script interprété comme JavaScript. Jetez un oeil à ces statistiques .

Comme vous le dites, il est recommandé de garder à jour vos plugins. Mais ce n'est pas assez. Tout d'abord, beaucoup de gens ne le font pas. Il a été récemment révélé que même l'équivalent suédois de NSA avait des plugins Java périmés avec des vulnérabilités de sécurité connues. S'ils ne peuvent pas bien comprendre, vous vous attendez à ce que l'utilisateur domestique moyen le fasse? Deuxièmement, vous ne pouvez vous protéger de zéro jour. Peu importe la rapidité avec laquelle Oracle produit des correctifs, vous risquez d'être en danger.

Même Oracle a reconnu que l'ère des applets Java est terminée. De Ars Technica (janvier 2016):

Le plugin de navigateur Java, très mal appelé, source de tant de défauts de sécurité au cours des années, doit être annulé par Oracle. Il ne sera pas pleuré.

Oracle, qui a acquis Java dans le cadre de son achat 2010 de Sun Microsystems, a annoncé que le plugin sera obsolète dans la prochaine version de Java, version 9, actuellement disponible en version beta d'accès précoce. Une version future la supprimera entièrement.