ChromeでJavaプラグイン（JRE）が無効になっているのはなぜですか？

ChromeでJavaプラグイン（JRE）が無効になっているのはなぜですか？セキュリティ上の懸念はありますか？

公式のJava Webサイトから：

ChromeはNPAPI（Javaアプレットに必要な技術）をサポートしなくなりました。Webブラウザー用のJavaプラグインは、クロスプラットフォームプラグインアーキテクチャNPAPIに依存しています。GoogleのChromeバージョン45（2015年9月にリリース予定）は、NPAPIのサポートを終了し、Silverlight、Java、Facebook Video、およびその他の同様のNPAPIベースのプラグインのプラグインに影響を与えます。

しかし、誰もがその理由を知っていますか？Java JREの最新バージョンがインストールされているChromeユーザーにとってどのように危険なのでしょうか？

JavaがChromeで無効になっているのはなぜですか？セキュリティ上の懸念はありますか？

Chromiumブログによると、NPAPIの無効化、したがってJavaの無効化を促す理由は次のとおりです。

• 強化されたセキュリティ
• スピードアップ
• 安定性の向上
• コードの複雑さの軽減
• クラッシュの減少
• ハングの減少
• モバイルデバイスのサポートの欠如

注意：

• FirefoxはNPAPIのサポートも廃止しています-FirefoxのNPAPIプラグインをご覧ください。

  プラグインは、Webユーザーのパフォーマンスの問題、クラッシュ、およびセキュリティインシデントの原因です。

  Mozillaは、2016年末までにFirefoxのほとんどのNPAPIプラグインのサポートを削除する予定です。

Java JREの最新バージョンがインストールされているChromeユーザーにとってどのように危険なのでしょうか？

簡単な答え：Zero Day Exploits。

脆弱性の別の原因は、Javaがユーザーの介入と管理者権限を必要としない自動アップデーターをリリースしていないという事実です。たとえば、Google ChromeとFlash Playerにはあります。この機能により、ユーザーはアクションの実行を求められることなく自動更新を取得できるため、更新が容易になります。

自動更新システムがないため、過去または同様の経験でJava更新を感染ベクターとして使用していたマルウェアのため、多くのユーザーはJava更新を無視し、インストールを恐れています。

これらの脆弱性はすべて、サイバー犯罪者が成功するものであることを知ってください。

...

独自のデータベースから抽出されたデータは、JavaがAdobeのFlashプラグインに続いて、継続的なパッチ適用を必要とする2番目に大きなセキュリティ脆弱性であることを確認しています。

2015年だけでも、クライアント用のJavaランタイム環境用に105925のパッチをすでに展開しています。

詳細な説明と解説については、記事の残りを読んでください。

ソースなぜJavaの脆弱性がコンピューターの最大のセキュリティホールの1つなのですか？

NPAPIの最終的なカウントダウン

昨年9月、ChromeからNPAPIサポートを削除する計画を発表しました。この変更により、Chromeのセキュリティ、速度、安定性が向上し、コードベースの複雑さが軽減されます。

ソースNPAPIの最終的なカウントダウン

旧友NPAPIに別れを告げる

NPAPIの90年代のアーキテクチャは、ハング、クラッシュ、セキュリティインシデント、およびコードの複雑さの主な原因となっています。このため、Chromeは今後1年間でNPAPIサポートを廃止します。この移行に向けてウェブは準備ができていると感じています。NPAPIはモバイルデバイスではサポートされていません。Mozillaは、現在のバージョンのFlash Click-to-Playを除くすべてのプラグインをデフォルトで作成する予定です。

旧友NPAPIに別れを告げる情報源

Googleが説明したように、初期のWebブラウザーでは機能を拡張するためにNetscape Plug-in API（NPAPI）が必要でした。残念ながら、基礎となるマシンへのアクセスを提供しました。したがって、プラグインに脆弱性が含まれていて、攻撃者がそれを悪用した場合、攻撃者はブラウザのサンドボックス化をバイパスしてマシンにアクセスできました。

このような攻撃ベクトルは、これまでマシンに感染するために頻繁に使用されてきたため、ブラウザでJavaを無効にする必要があるというアドバイスにつながりました。Javaプラグインによって提供される多くの機能は、ブラウザ自体（HTML5など）に組み込まれ、パフォーマンスとセキュリティが向上したり、サンドボックス（NaCLなど）で実行される拡張機能が追加されています。これが、Javaプラグインをサポートしないという決定が下された理由です。高リスクですが、実際には必要ありません。

長い間、JavaやFlash、Silverlightなどの他のプラグインがWebから離れています。HTML5の目標の1つは、プラグインが不要なフレームワークを作成することでした（したがって、<audio>やなどのタグ<video>）。今ではJavaをサポートする唯一の理由は、とにかく廃止されるはずのレガシーシステムとの互換性のためです。

では、なぜJavaのようなプラグインはセキュリティ上の脅威なのでしょうか？歴史は、セキュリティホールの安定した流れが常に存在し、多数のエクスプロイトを可能にすることを証明しているためです。Javaバイトコードを実行しているVMを保護することは、JavaScriptのような解釈されたスクリプト言語をサンドボックス化することよりも本質的に困難です。ただ、見ていこれらの統計を。

あなたが言うように、プラグインを最新の状態に保つことは良い習慣です。しかし、それだけでは十分ではありません。まず、多くの人はそうではありません。最近、スウェーデンのNSAに相当するものでさえ、既知のセキュリティ脆弱性を持つ古いJavaプラグインを実行していることが明らかになりました。彼らがそれを正しくできない場合、平均的なホームユーザーがそうすることを期待しますか？第二に、ゼロデイから身を守る方法はありません。オラクルがどれほど速くパッチを作成しても、リスクにさらされます。

Oracleでさえ、Javaアプレットの時代が終わったことを認めています。Ars Technicaから（2016年1月）：

長年にわたる非常に多くのセキュリティ欠陥の原因である、ひどく悪いJavaブラウザプラグインは、Oracleによって殺されます。それは喪に服しません。

Sun Microsystemsの2010年の購入の一環としてJavaを買収したOracleは、プラグインがJavaの次のリリースである廃止予定であると発表しました。将来のリリースでは完全に削除されます。