Pourquoi le plugin Java (JRE) est-il désactivé dans Chrome?

40

Pourquoi le plugin Java (JRE) est-il désactivé dans Chrome? C'est un problème de sécurité?

Depuis le site web officiel de Java:

Chrome ne prend plus en charge NPAPI (technologie requise pour les applets Java). Le plug-in Java pour les navigateurs Web repose sur l'architecture de plug-in multiplateforme NPAPI, prise en charge par tous les principaux navigateurs Web depuis plus de dix ans. La version 45 de Google Chrome (prévue pour septembre 2015) supprime la prise en charge de NPAPI, ce qui a un impact sur les plug-ins de Silverlight, Java, Facebook Video et d'autres plug-ins similaires basés sur NPAPI.

Mais quelqu'un sait pourquoi? Comment cela pourrait-il être dangereux pour les utilisateurs de Chrome avec la dernière version de Java JRE installée?

Michał Kuliński
la source
1
Lors de la publication de devis, veuillez inclure un lien vers la source dans le futur.
8
Vous avez répondu à votre question: car le plug-in Java utilise NPAPI et que Chrome ne le prend plus en charge.
gronostaj
7
Bien que la raison officielle paraisse bonne, je soupçonne personnellement que les retombées entre Google et Oracle sur Android avaient bien plus à voir avec ce que personne ne veut l'admettre.
Devsman
2
Pourquoi Java désactivé? en premier lieu "pourquoi Flash et Java sont activés?" Si je ne fais pas vraiment confiance à un site, j’ai même même désactivé le javascript (enfin j’ai un raccourci pour le navigateur sans javascript)
GameDeveloper
1
@Devsman S'il ne s'agissait que de Java, votre argument pourrait être plausible, mais Google s'attaque à tous les plugins (et donc à Mozilla). Silverlight, Acrobat Reader, shockwave, unit, quicktime, joueur réel, etc. ont tous été frappés par le même marteau d'interdiction. Ils étaient tous largement installés et au moins utilisés occasionnellement par un grand nombre de personnes au fil des ans. Tous fournissaient des choses qui ne pouvaient pas être faites directement dans le navigateur il y a 5-20 ans; mais qui sont soit faisables par les intrinsèques de navigateur ou HTML5 directement ces jours-ci ...
Dan Neely

Réponses:

59

Pourquoi Java est-il désactivé dans Chrome? C'est un problème de sécurité?

Selon le blog Chromium, les raisons qui ont motivé la désactivation de NPAPI, et donc de Java, sont les suivantes:

  • Sécurité accrue
  • Augmentation de la vitesse
  • Stabilité accrue
  • Réduction de la complexité du code
  • Réduction des accidents
  • Réduction de pendent
  • Manque de support pour les appareils mobiles

Remarque:

  • Firefox supprime également la prise en charge de NPAPI - Voir Plugins NPAPI dans Firefox :

    Les plugins sont une source de problèmes de performances, de pannes et d’incidents de sécurité pour les utilisateurs Web.

    Mozilla a l'intention de supprimer la prise en charge de la plupart des plug-ins NPAPI dans Firefox d'ici la fin de 2016.


Comment cela pourrait-il être dangereux pour les utilisateurs de Chrome avec la dernière version de Java JRE installée?

Réponse courte: Exploits Zero Day.

Une autre source de vulnérabilités est le fait que Java n’a pas publié de programme de mise à jour automatique qui ne nécessite aucune intervention de l’utilisateur ni les droits d’administrateur. Par exemple, Google Chrome et Flash Player ont. Cette fonctionnalité permet aux utilisateurs d’obtenir des mises à jour automatiques sans être invité à prendre des mesures, ce qui facilite les mises à jour.

En l'absence d'un système de mises à jour automatiques, de nombreux utilisateurs ignorent les mises à jour Java et craignent même de les installer, en raison de programmes malveillants ayant utilisé les mises à jour Java comme vecteur d'infection par le passé ou par des expériences similaires.

Sachez simplement que toutes ces vulnérabilités sont la source de la prospérité des cybercriminels.

...

Les données extraites de notre propre base de données confirment que Java est la deuxième plus grande vulnérabilité de sécurité nécessitant des correctifs permanents, après le plugin Flash d’Adobe.

Rien qu'en 2015, nous avons déjà déployé 105925 correctifs pour Java Runtime Environment pour nos clients.

entrez la description de l'image ici

Lisez le reste de l'article pour une explication détaillée et un commentaire.

Source Pourquoi les vulnérabilités de Java sont-elles l’un des plus gros trous de sécurité sur votre ordinateur?


Le compte à rebours final pour NPAPI

En septembre dernier, nous avions annoncé notre projet de suppression de la prise en charge de NPAPI dans Chrome. Cette modification améliorera la sécurité, la vitesse et la stabilité de Chrome, tout en réduisant la complexité du code source.

Source Le compte à rebours final pour NPAPI


Dire au revoir à notre vieil ami NPAPI

L’architecture des années 90 de NPAPI est devenue une cause majeure de blocage, de crash, d’incidents de sécurité et de complexité du code. Pour cette raison, Chrome supprimera progressivement le support NPAPI au cours de la prochaine année. Nous pensons que le Web est prêt pour cette transition. NPAPI n'est pas pris en charge sur les appareils mobiles et Mozilla prévoit de créer par défaut tous les plug-ins, à l'exception de la version actuelle de Flash.

Source disant au revoir à notre vieil ami NPAPI

DavidPostill
la source
47
Le programme d’ installation Java lui - même est également un vecteur pour crapware. La mise à jour quotidienne de la sécurité Java nécessite que vous parcouriez toutes les pages du programme d’installation pour vous assurer que Oracle n’a pas été intégré à un nouveau craplet MacAffee.
2
@JS. Peut-être qu'il me manque quelque chose, mais personnellement, je n'ai jamais vu l'installateur Java proposer d'installer autre chose que Java. La vraie raison pour laquelle Google désactive Java? Google ne veut pas que les développeurs écrivent des logiciels pour autre chose que ce sur quoi ils ont le contrôle.
Malcolm
14
@ Malcom: jetez un autre coup d'oeil. java.com vous explique comment désactiver les offres de sponsors. par conséquent, ils incluent les offres de sponsors que les internautes souhaitent désactiver. java.com/fr/download/faq/disable_offers.xml
Ross Presser Le
3
@ RossPresser Si vous téléchargez d'Oracle, vous ne recevez pas les offres du sponsor.
DavidPostill
7
@Malcolm de 2011 à 2015, le programme d'installation officiel Java d'Oracle comprenait les éléments suivants: java.com/ga/images/fr/ask_offer.jpg
hobbs
4

Comme expliqué par Google , l’API plug-in de Netscape (NPAPI) était nécessaire aux débuts des navigateurs Web pour étendre leurs fonctionnalités. Malheureusement, cela donnait accès à la machine sous-jacente. Ainsi, si le plug-in contenait une vulnérabilité et qu'un attaquant l'exploitait, il attaquait le sandboxing du navigateur et avait accès à la machine.

De tels vecteurs d’attaque ont été très utilisés dans le passé pour infecter des machines, ce qui conduit à l’avis de désactiver Java sur votre navigateur. De nombreuses fonctionnalités fournies par les plug-ins Java sont désormais incluses par le navigateur lui-même (par exemple, HTML5) avec de meilleures performances et une meilleure sécurité ou par des extensions s'exécutant dans un sandbox (par exemple, NaCL ). C'est pourquoi la décision de ne plus supporter les plugins Java a été prise: risque élevé, mais pas vraiment besoin.

Ronny
la source
2

Depuis longtemps, Java, ainsi que d’autres plugins comme Flash ou Silverlight, se sont éloignés du Web. L'un des objectifs de HTML5 était de créer un cadre où les plugins ne sont pas nécessaires (d'où les balises comme <audio>et <video>). À ce jour, la seule raison de prendre en charge Java est la compatibilité avec les systèmes hérités qui auraient probablement déjà dû être retirés.

Alors, pourquoi les plugins comme Java sont-ils une menace pour la sécurité? Parce que l’histoire a prouvé qu’il y aura toujours un flot continu de failles de sécurité permettant une multitude d’exploits. Il est simplement plus difficile de sécuriser une machine virtuelle exécutant du bytecode Java que de mettre en sandbox un langage de script interprété tel que JavaScript. Il suffit de regarder ces statistiques .

Comme vous le dites, il est recommandé de garder vos plugins à jour. Mais ce n'est pas assez. Premièrement, beaucoup de gens ne le font pas. Il a récemment été révélé que même l'équivalent suédois de la NSA exécutait des plug-ins Java obsolètes avec des vulnérabilités de sécurité connues. S'ils ne peuvent pas le faire correctement, vous attendez-vous à l'utilisateur à la maison moyen de le faire? Deuxièmement, il n'y a aucun moyen de vous protéger de zéro jour. Quelle que soit la rapidité avec laquelle Oracle produit des correctifs, vous serez exposé à des risques.

Même Oracle a reconnu que l'ère des applets Java est terminée. De Ars Technica (janvier 2016):

Oracle, le plug-in de navigateur Java très critiqué, source de tant de failles de sécurité au fil des ans, va être tué. Il ne sera pas pleuré.

Oracle, qui a acquis Java dans le cadre de son acquisition de Sun Microsystems en 2010, a annoncé que le plug-in serait obsolète dans la prochaine version de Java, version 9, actuellement disponible en version bêta à accès anticipé. Une future version l'enlèvera entièrement.


la source