ทำไมปลั๊กอิน Java (JRE) ถูกปิดการใช้งานใน Chrome

40

ทำไมปลั๊กอิน Java (JRE) ถูกปิดการใช้งานใน Chrome มันเป็นความกังวลด้านความปลอดภัยหรือไม่?

จากเว็บไซต์ Java อย่างเป็นทางการ:

Chrome ไม่สนับสนุน NPAPI (เทคโนโลยีที่จำเป็นสำหรับ Java applets) ปลั๊กอิน Java สำหรับเว็บเบราว์เซอร์อาศัยสถาปัตยกรรมปลั๊กอินข้ามแพลตฟอร์ม NPAPI ซึ่งได้รับการสนับสนุนจากเว็บเบราว์เซอร์หลักทั้งหมดมานานกว่าทศวรรษ Chrome รุ่น 45 ของ Google (มีกำหนดวางจำหน่ายในเดือนกันยายน 2558) ลดการสนับสนุน NPAPI ส่งผลกระทบต่อปลั๊กอินสำหรับ Silverlight, Java, Facebook Video และปลั๊กอินอื่น ๆ ที่คล้ายกันของ NPAPI

แต่ใครจะรู้ว่าทำไม อาจเป็นอันตรายสำหรับผู้ใช้ Chrome ที่ติดตั้ง Java JRE เวอร์ชันล่าสุดได้อย่างไร

google-chrome  java 
MichałKuliński
แหล่งที่มา
1
เมื่อโพสต์คำพูดโปรดรวมลิงค์ไปยังแหล่งที่มาในอนาคต
8
คุณได้ตอบคำถามของคุณ: เนื่องจากปลั๊กอิน Java ใช้ NPAPI และ Chrome ไม่สนับสนุนอีกต่อไป
gronostaj
7
แม้ว่าเหตุผลอย่างเป็นทางการฟังดูดี แต่ความสงสัยส่วนตัวของฉันก็คือการตกลงกันระหว่าง Google และ Oracle บน Android นั้นมีอะไรมากมายที่เกี่ยวข้องกับมันมากกว่าที่ทุกคนต้องการยอมรับ
Devsman
2
ทำไม Java ปิดการใช้งาน? ในสถานที่แรก "เหตุใดจึงเปิดใช้งาน Flash และ Java" เว้นแต่ฉันจะเชื่อถือเว็บไซต์ได้มากจริงๆฉันยังปิดการใช้งาน Javascript (ในความเป็นจริงฉันมีเดสก์ท็อ
ปลัด
1
@Devsman หากเป็นเพียง Java อาร์กิวเมนต์ของคุณอาจเป็นไปได้ แต่ Google จะดำเนินการตามปลั๊กอินทั้งหมด (และเป็นเช่นนั้น Mozilla) Silverlight, Acrobat Reader, shockwave, unity, quicktime, ผู้เล่นตัวจริงและอื่น ๆ ล้วน แต่โดนค้อนแบนเดียวกัน พวกเขาทั้งหมดถูกติดตั้งอย่างกว้างขวางและอย่างน้อยก็บางครั้งใช้โดยคนจำนวนมากในช่วงหลายปี ทุกสิ่งที่ไม่สามารถทำได้ในเบราว์เซอร์โดยตรงเมื่อ 5-20 ปีก่อน แต่ที่เป็นไปได้ทั้งโดย intrinsics เบราเซอร์หรือ HTML5 โดยตรงวันนี้ ...
แดนนีลี

คำตอบ:

59

ทำไม Java ถูกปิดการใช้งานใน Chrome มันเป็นความกังวลด้านความปลอดภัยหรือไม่?

สาเหตุที่ทำให้การปิดใช้งาน NPAPI และ Java รวมถึงสิ่งต่อไปนี้ตาม Chromium Blog:

  • ความปลอดภัยที่เพิ่มขึ้น
  • ความเร็วที่เพิ่มขึ้น
  • เสถียรภาพเพิ่มขึ้น
  • ลดความซับซ้อนของรหัส
  • ลดการล่ม
  • ลดการค้าง
  • ขาดการสนับสนุนอุปกรณ์มือถือ

บันทึก:

  • Firefox กำลังลดการสนับสนุนสำหรับ NPAPI - ดูปลั๊กอิน NPAPI ใน Firefox :

    ปลั๊กอินเป็นแหล่งที่มาของปัญหาประสิทธิภาพข้อขัดข้องและเหตุการณ์ด้านความปลอดภัยสำหรับผู้ใช้เว็บ

    Mozilla ตั้งใจที่จะยกเลิกการสนับสนุนปลั๊กอิน NPAPI ส่วนใหญ่ใน Firefox ภายในสิ้นปี 2559

อาจเป็นอันตรายสำหรับผู้ใช้ Chrome ที่ติดตั้ง Java JRE เวอร์ชันล่าสุดอย่างไร

คำตอบสั้น ๆ : Zero Day Exploits

แหล่งที่มาของช่องโหว่อื่นคือข้อเท็จจริงที่ว่า Java ไม่ได้ปล่อยตัวอัปเดตอัตโนมัติที่ไม่ต้องการการแทรกแซงจากผู้ใช้และสิทธิ์ของผู้ดูแลระบบ ตัวอย่างเช่น Google Chrome และ Flash Player มี คุณลักษณะนี้ช่วยให้ผู้ใช้รับการอัปเดตอัตโนมัติโดยไม่ต้องแจ้งให้ดำเนินการทำให้การปรับปรุงง่ายขึ้น

เนื่องจากขาดระบบอัปเดตอัตโนมัติผู้ใช้หลายคนไม่สนใจการอัปเดต Java และกลัวที่จะติดตั้งเพราะมัลแวร์ที่ใช้การอัปเดต Java เป็นเวกเตอร์ติดเชื้อในอดีตหรือประสบการณ์ที่คล้ายกัน

เพิ่งรู้ว่าช่องโหว่เหล่านี้คือสิ่งที่อาชญากรไซเบอร์ประสบความสำเร็จ

...

ข้อมูลที่สกัดจากฐานข้อมูลของเรายืนยันว่า Java เป็นช่องโหว่ด้านความปลอดภัยที่ใหญ่เป็นอันดับสองที่ต้องการการแก้ไขอย่างต่อเนื่องหลังจากปลั๊กอิน Flash ของ Adobe

ในปี 2558 เพียงอย่างเดียวเราได้ปรับใช้โปรแกรมแก้ไข 105925 สำหรับ Java Runtime Environment สำหรับลูกค้าของเรา

ป้อนคำอธิบายรูปภาพที่นี่

อ่านบทความที่เหลือสำหรับคำอธิบายและคำอธิบายโดยละเอียด

ที่มาทำไมช่องโหว่ของ Java จึงเป็นช่องโหว่ความปลอดภัยที่ใหญ่ที่สุดบนคอมพิวเตอร์ของคุณ

การนับถอยหลังครั้งสุดท้ายสำหรับ NPAPI

เมื่อเดือนกันยายนที่ผ่านมาเราได้ประกาศแผนของเราที่จะลบการสนับสนุน NPAPI จาก Chrome การเปลี่ยนแปลงที่จะปรับปรุงความปลอดภัยความเร็วและเสถียรภาพของ Chrome รวมถึงลดความซับซ้อนในฐานรหัส

แหล่งที่มาการนับถอยหลังครั้งสุดท้ายสำหรับ NPAPI

บอกลาเพื่อนเก่าของเรา NPAPI

สถาปัตยกรรมยุค 90 ของ NPAPI ได้กลายเป็นสาเหตุสำคัญของการแฮงค์ล่มเหตุการณ์การรักษาความปลอดภัยและความซับซ้อนของรหัส ด้วยเหตุนี้ Chrome จึงยุติการสนับสนุน NPAPI ในปีที่จะมาถึง เรารู้สึกว่าเว็บพร้อมสำหรับการเปลี่ยนแปลงนี้ อุปกรณ์มือถือไม่รองรับ NPAPI และ Mozilla วางแผนที่จะทำปลั๊กอินทั้งหมดยกเว้น Flash click-to-play เวอร์ชันปัจจุบันโดยค่าเริ่มต้น

ที่มาบอกลาเพื่อนเก่าของเรา NPAPI

DavidPostill
แหล่งที่มา
47
ตัวติดตั้ง Java นั้นเป็นเวกเตอร์สำหรับ crapware เช่นกัน อัปเดตความปลอดภัย Java รายวันกำหนดให้คุณรวมทุก ๆ หน้าของโปรแกรมติดตั้งเพื่อให้แน่ใจว่า Oracle ไม่ได้รวมอยู่ใน craplet ของ MacAffee ใหม่
2
@JS บางทีฉันอาจจะพลาดบางอย่าง แต่โดยส่วนตัวฉันไม่เคยเห็นตัวติดตั้ง Java มาติดตั้งอะไรนอกเหนือจาก Java เหตุผลที่แท้จริงที่ทำให้ Google ปิดการใช้งานจาวา Google ไม่ต้องการให้นักพัฒนาซอฟต์แวร์เขียนอะไรอย่างอื่นนอกเหนือจากที่พวกเขาสามารถควบคุมได้
Malcolm
14
@ Malcom: ลองดูอีกครั้ง java.com บอกวิธีปิดการใช้งานข้อเสนอของสปอนเซอร์ ดังนั้นพวกเขาจึงรวมถึงข้อเสนอของผู้สนับสนุนที่ผู้คนต้องการปิดการใช้งาน java.com/th/download/faq/disable_offers.xml
Ross Presser
3
@RossPresser ถ้าคุณดาวน์โหลดจาก oracle คุณไม่ได้รับข้อเสนอจากผู้สนับสนุน
DavidPostill
7
@Malcolm จาก 2011-2015 โปรแกรมติดตั้ง Java อย่างเป็นทางการจาก Oracle มีดังนี้: java.com/ga/images/en/ask_offer.jpg
hobbs
4

ตามที่อธิบายโดย Googleจำเป็นต้องใช้ Netscape Plug-in API (NPAPI) ในช่วงแรก ๆ ของเว็บเบราว์เซอร์เพื่อขยายคุณสมบัติของพวกเขา น่าเสียดายที่มันให้การเข้าถึงเครื่องพื้นฐาน ดังนั้นหากปลั๊กอินมีช่องโหว่และผู้โจมตีใช้ประโยชน์จากมันผู้โจมตีจะข้ามแซนด์บ็อกซ์ของเบราว์เซอร์และเข้าถึงเครื่องได้

การโจมตีเวกเตอร์ดังกล่าวมีการใช้กันอย่างแพร่หลายในอดีตเพื่อแพร่กระจายเครื่องจักรทำให้คำแนะนำว่าคุณควรปิดการใช้งานจาวาบนเบราว์เซอร์ของคุณ คุณลักษณะหลายอย่างที่ปลั๊กอิน Java มีให้ในตัวเบราว์เซอร์ (เช่น HTML5) ที่มีประสิทธิภาพและความปลอดภัยที่ดีขึ้นหรือมีส่วนขยายที่ทำงานในแซนด์บ็อกซ์ (เช่นNaCL ) นั่นเป็นสาเหตุที่ทำให้การตัดสินใจไม่สนับสนุนปลั๊กอิน Java อีกต่อไป: มีความเสี่ยงสูง แต่ไม่จำเป็นต้องใช้มัน

รอนนี
แหล่งที่มา
2

เป็นเวลานานที่มีการย้ายจาก Java พร้อมกับปลั๊กอินอื่น ๆ เช่น Flash หรือ Silverlight บนเว็บ หนึ่งในเป้าหมายของ HTML5 คือการสร้างเฟรมเวิร์กที่ไม่จำเป็นต้องใช้ปลั๊กอิน (ดังนั้นแท็กเช่น<audio>และ<video>) ตอนนี้เหตุผลเดียวที่สนับสนุน Java คือความเข้ากันได้กับระบบเดิมที่ควรจะถูกยกเลิกในตอนนี้

เหตุใดปลั๊กอินเช่น Java จึงเป็นภัยคุกคามความปลอดภัย เนื่องจากประวัติศาสตร์ได้พิสูจน์แล้วว่าจะมีช่องโหว่ด้านความปลอดภัยอยู่ตลอดเวลาทำให้มีช่องโหว่มากมาย มันเป็นการยากที่จะรักษาความปลอดภัยให้กับ VM ที่ใช้ Java bytecode เป็นการยากกว่าการแซนด์บ็อกซ์ภาษาสคริปต์ที่ตีความเช่น JavaScript เพียงแค่มีลักษณะที่สถิติเหล่านี้

อย่างที่คุณพูดมันเป็นวิธีปฏิบัติที่ดีในการอัปเดตปลั๊กอินของคุณ แต่นั่นยังไม่เพียงพอ ครั้งแรกผู้คนจำนวนมากทำไม่ได้ มีการเปิดเผยเมื่อเร็ว ๆ นี้ว่าแม้แต่ NSA ที่เทียบเท่าของสวีเดนยังใช้ปลั๊กอิน Java ที่ล้าสมัยซึ่งมีช่องโหว่ด้านความปลอดภัยที่รู้จัก หากพวกเขาไม่สามารถทำได้ถูกต้องคุณคาดหวังว่าผู้ใช้ตามบ้านโดยเฉลี่ยจะทำเช่นนั้น? ประการที่สองไม่มีทางที่คุณสามารถป้องกันตนเองจากศูนย์ได้ ไม่ว่า Oracle จะผลิตแพทช์รวดเร็วแค่ไหนคุณก็จะตกอยู่ในความเสี่ยง

แม้แต่ Oracle ก็ยอมรับว่ายุคของ Java applets นั้นจบลงแล้ว จากArs Technica (ม.ค. 2559):

ปลั๊กอินของเบราว์เซอร์ Java ที่มีรูปแบบไม่ถูกต้องซึ่งเป็นแหล่งที่มาของข้อบกพร่องด้านความปลอดภัยจำนวนมากในช่วงหลายปีที่ผ่านมานั้น Oracle จะถูกสังหาร มันจะไม่โศกเศร้า

Oracle ซึ่งซื้อ Java เป็นส่วนหนึ่งของการซื้อ Sun Microsystems ในปี 2010 ได้ประกาศว่าปลั๊กอินดังกล่าวจะถูกเลิกใช้ใน Java รุ่นถัดไปซึ่งมีวางจำหน่ายในรุ่นเบต้าก่อนหน้านี้ การเปิดตัวในอนาคตจะลบออกทั้งหมด

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.