Por que o plugin Java (JRE) está desabilitado no Chrome?

Por que o Java está desativado no Chrome? É alguma preocupação de segurança?

Os motivos que levaram à desativação do NPAPI e, portanto, do Java, incluem o seguinte, de acordo com o Blog do Chromium:

• Maior segurança
• Velocidade aumentada
• Maior estabilidade
• Redução na complexidade do código
• Redução em falhas
• Redução de interrupções
• Falta de suporte para dispositivos móveis

Nota:

• O Firefox também está perdendo suporte para o NPAPI - Veja Plugins NPAPI no Firefox :

  Plugins are a source of performance problems, crashes, and security incidents for Web users.

  Mozilla intends to remove support for most NPAPI plugins in Firefox by the end of 2016.

Como isso pode ser perigoso para usuários do Google Chrome com a última versão do Java JRE instalada?

Resposta curta: Explorações do dia zero.

Another source for vulnerabilities is the fact that Java hasn’t released an automatic updater that doesn’t require user intervention and administrative rights. For example, Google Chrome and Flash Player have. This feature allows users to get automatic updates without being prompted to take action, making updates easier.

For lack of an automatic updates system, many users ignore Java updates and even fear installing them, because of malware that used Java updates as an infection vector in the past or similar experiences.

Just know that all these vulnerabilities are what cyber criminals thrive on.

...

Data extracted from our own database confirms that Java is the second biggest security vulnerability that requires constant patching, after Adobe’s Flash plugin.

In 2015 alone, we’ve already deployed 105925 patches for Java Runtime Environment for our clients.

Leia o restante do artigo para uma explicação detalhada e comentários.

Fonte Por que as vulnerabilidades do Java são um dos maiores furos de segurança em seu computador?

A Contagem Regressiva Final do NPAPI

Last September we announced our plan to remove NPAPI support from Chrome, a change that will improve Chrome’s security, speed, and stability as well as reduce complexity in the code base.

Fonte A contagem regressiva final do NPAPI

Dizendo adeus ao nosso velho amigo NPAPI

NPAPI’s 90s-era architecture has become a leading cause of hangs, crashes, security incidents, and code complexity. Because of this, Chrome will be phasing out NPAPI support over the coming year. We feel the web is ready for this transition. NPAPI isn’t supported on mobile devices, and Mozilla plans to make all plug-ins except the current version of Flash click-to-play by default.

Fonte Dizer adeus ao nosso velho amigo NPAPI

Como explicado pelo Google , o Netscape A API de plug-in (NPAPI) era necessária nos primeiros dias dos navegadores da Web para estender seus recursos. Infelizmente, forneceu acesso à máquina subjacente. Assim, se o plug-in contiver uma vulnerabilidade e um invasor a explorar, o invasor contornará o sandbox do navegador e terá acesso à máquina.

Esses vetores de ataque têm sido muito usados no passado para infectar máquinas, levando ao conselho de que você deve desativar o Java no seu navegador. Muitos recursos fornecidos pelos plug-ins Java agora são incluídos pelo próprio navegador (por exemplo, HTML5) com melhor desempenho e segurança ou com extensões em execução em um ambiente de simulação (por exemplo, NaCL . É por isso que a decisão de não mais suportar plugins Java foi feita: alto risco, mas não há necessidade real.

Durante muito tempo, houve um afastamento do Java, junto com outros plugins como Flash ou Silverlight, na web. Um dos objetivos com o HTML5 era criar um framework onde plugins não fossem necessários (daí tags como <audio> e <video> ). Até agora, o único motivo para suportar o Java é a compatibilidade com sistemas legados que provavelmente deveriam ter sido removidos a qualquer momento.

Então, por que plugins como o Java são uma ameaça à segurança? Porque a história provou que sempre haverá um fluxo constante de falhas de segurança, permitindo uma infinidade de explorações. É inerentemente mais difícil proteger uma VM que executa o bytecode Java do que proteger uma linguagem de script interpretada como o JavaScript. Basta dar uma olhada em estas estatísticas .

Como você disse, é uma boa prática manter seus plugins atualizados. Mas isso não é suficiente. Primeiro, muitas pessoas não. Foi revelado recentemente que até o equivalente sueco da NSA estava executando plug-ins Java desatualizados com vulnerabilidades de segurança conhecidas. Se eles não conseguem acertar, você espera que o usuário doméstico médio faça isso? Segundo, não há como você se proteger de zero dias. Não importa quão rápido a Oracle produza patches, você estará em risco.

Até mesmo a Oracle reconheceu que a era dos applets Java acabou. De Ars Technica (Jan 2016):

The much-maligned Java browser plugin, source of so many security flaws over the years, is to be killed off by Oracle. It will not be mourned.

Oracle, which acquired Java as part of its 2010 purchase of Sun Microsystems, has announced that the plugin will be deprecated in the next release of Java, version 9, which is currently available as an early access beta. A future release will remove it entirely.