長い間、JavaやFlash、Silverlightなどの他のプラグインがWebから離れています。HTML5の目標の1つは、プラグインが不要なフレームワークを作成することでした(したがって、<audio>
やなどのタグ<video>
)。今ではJavaをサポートする唯一の理由は、とにかく廃止されるはずのレガシーシステムとの互換性のためです。
では、なぜJavaのようなプラグインはセキュリティ上の脅威なのでしょうか?歴史は、セキュリティホールの安定した流れが常に存在し、多数のエクスプロイトを可能にすることを証明しているためです。Javaバイトコードを実行しているVMを保護することは、JavaScriptのような解釈されたスクリプト言語をサンドボックス化することよりも本質的に困難です。ただ、見ていこれらの統計を。
あなたが言うように、プラグインを最新の状態に保つことは良い習慣です。しかし、それだけでは十分ではありません。まず、多くの人はそうではありません。最近、スウェーデンのNSAに相当するものでさえ、既知のセキュリティ脆弱性を持つ古いJavaプラグインを実行していることが明らかになりました。彼らがそれを正しくできない場合、平均的なホームユーザーがそうすることを期待しますか?第二に、ゼロデイから身を守る方法はありません。オラクルがどれほど速くパッチを作成しても、リスクにさらされます。
Oracleでさえ、Javaアプレットの時代が終わったことを認めています。Ars Technicaから(2016年1月):
長年にわたる非常に多くのセキュリティ欠陥の原因である、ひどく悪いJavaブラウザプラグインは、Oracleによって殺されます。それは喪に服しません。
Sun Microsystemsの2010年の購入の一環としてJavaを買収したOracleは、プラグインがJavaの次のリリースである廃止予定であると発表しました。将来のリリースでは完全に削除されます。