Pourquoi le plugin Java (JRE) est-il désactivé dans Chrome? C'est un problème de sécurité?
Depuis le site web officiel de Java:
Chrome ne prend plus en charge NPAPI (technologie requise pour les applets Java). Le plug-in Java pour les navigateurs Web repose sur l'architecture de plug-in multiplateforme NPAPI, prise en charge par tous les principaux navigateurs Web depuis plus de dix ans. La version 45 de Google Chrome (prévue pour septembre 2015) supprime la prise en charge de NPAPI, ce qui a un impact sur les plug-ins de Silverlight, Java, Facebook Video et d'autres plug-ins similaires basés sur NPAPI.
Mais quelqu'un sait pourquoi? Comment cela pourrait-il être dangereux pour les utilisateurs de Chrome avec la dernière version de Java JRE installée?
la source
Réponses:
Pourquoi Java est-il désactivé dans Chrome? C'est un problème de sécurité?
Selon le blog Chromium, les raisons qui ont motivé la désactivation de NPAPI, et donc de Java, sont les suivantes:
Remarque:
Firefox supprime également la prise en charge de NPAPI - Voir Plugins NPAPI dans Firefox :
Comment cela pourrait-il être dangereux pour les utilisateurs de Chrome avec la dernière version de Java JRE installée?
Réponse courte: Exploits Zero Day.
...
Lisez le reste de l'article pour une explication détaillée et un commentaire.
Source Pourquoi les vulnérabilités de Java sont-elles l’un des plus gros trous de sécurité sur votre ordinateur?
Le compte à rebours final pour NPAPI
Source Le compte à rebours final pour NPAPI
Dire au revoir à notre vieil ami NPAPI
Source disant au revoir à notre vieil ami NPAPI
la source
Comme expliqué par Google , l’API plug-in de Netscape (NPAPI) était nécessaire aux débuts des navigateurs Web pour étendre leurs fonctionnalités. Malheureusement, cela donnait accès à la machine sous-jacente. Ainsi, si le plug-in contenait une vulnérabilité et qu'un attaquant l'exploitait, il attaquait le sandboxing du navigateur et avait accès à la machine.
De tels vecteurs d’attaque ont été très utilisés dans le passé pour infecter des machines, ce qui conduit à l’avis de désactiver Java sur votre navigateur. De nombreuses fonctionnalités fournies par les plug-ins Java sont désormais incluses par le navigateur lui-même (par exemple, HTML5) avec de meilleures performances et une meilleure sécurité ou par des extensions s'exécutant dans un sandbox (par exemple, NaCL ). C'est pourquoi la décision de ne plus supporter les plugins Java a été prise: risque élevé, mais pas vraiment besoin.
la source
Depuis longtemps, Java, ainsi que d’autres plugins comme Flash ou Silverlight, se sont éloignés du Web. L'un des objectifs de HTML5 était de créer un cadre où les plugins ne sont pas nécessaires (d'où les balises comme
<audio>
et<video>
). À ce jour, la seule raison de prendre en charge Java est la compatibilité avec les systèmes hérités qui auraient probablement déjà dû être retirés.Alors, pourquoi les plugins comme Java sont-ils une menace pour la sécurité? Parce que l’histoire a prouvé qu’il y aura toujours un flot continu de failles de sécurité permettant une multitude d’exploits. Il est simplement plus difficile de sécuriser une machine virtuelle exécutant du bytecode Java que de mettre en sandbox un langage de script interprété tel que JavaScript. Il suffit de regarder ces statistiques .
Comme vous le dites, il est recommandé de garder vos plugins à jour. Mais ce n'est pas assez. Premièrement, beaucoup de gens ne le font pas. Il a récemment été révélé que même l'équivalent suédois de la NSA exécutait des plug-ins Java obsolètes avec des vulnérabilités de sécurité connues. S'ils ne peuvent pas le faire correctement, vous attendez-vous à l'utilisateur à la maison moyen de le faire? Deuxièmement, il n'y a aucun moyen de vous protéger de zéro jour. Quelle que soit la rapidité avec laquelle Oracle produit des correctifs, vous serez exposé à des risques.
Même Oracle a reconnu que l'ère des applets Java est terminée. De Ars Technica (janvier 2016):
la source