ChromeでJavaプラグイン(JRE)が無効になっているのはなぜですか?


40

ChromeでJavaプラグイン(JRE)が無効になっているのはなぜですか?セキュリティ上の懸念はありますか?

公式のJava Webサイトから:

ChromeはNPAPI(Javaアプレットに必要な技術)をサポートしなくなりました。Webブラウザー用のJavaプラグインは、クロスプラットフォームプラグインアーキテクチャNPAPIに依存しています。GoogleのChromeバージョン45(2015年9月にリリース予定)は、NPAPIのサポートを終了し、Silverlight、Java、Facebook Video、およびその他の同様のNPAPIベースのプラグインのプラグインに影響を与えます。

しかし、誰もがその理由を知っていますか?Java JREの最新バージョンがインストールされているChromeユーザーにとってどのように危険なのでしょうか?


1
見積もりを投稿する際には、今後ソースへのリンクを含めてください。

8
あなたはあなたの質問に答えました:JavaプラグインはNPAPIを使用し、Chromeはそれをサポートしなくなったからです。
グロノスタジ

7
公式の理由は良いように思えますが、私の個人的な疑いは、Androidを介したGoogleとOracleの間のフォールアウトは、誰もが認めようとするよりもはるかに多くのことでした。
Devsman

2
Javaが無効になっている理由 そもそも「なぜFlashとJavaが有効になっているのですか?」サイトを本当に信用しない限り、私はJavascriptを無効にします(実際には、Javascriptを使用しないブラウザーのデスクトップショートカットがあります)
-GameDeveloper

1
@Devsmanそれが単なるJavaである場合、あなたの議論はもっともらしいかもしれませんが、Googleはすべてのプラグインを追求しています(Mozillaもそうです)。Silverlight、Acrobat Reader、Shockwave、Unity、Quicktime、Real Playerなどはすべて、同じ禁止ハンマーで攻撃されています。それらはすべて広くインストールされており、少なくとも時折、多くの人々が使用していました。すべてが5〜20年前にブラウザで直接実行できなかったことを提供しました。しかし、これは...直接ブラウザ組み込み関数やHTML5により、これらの日のいずれかなんとかです
ダン・ニーリー

回答:


59

JavaがChromeで無効になっているのはなぜですか?セキュリティ上の懸念はありますか?

Chromiumブログによると、NPAPIの無効化、したがってJavaの無効化を促す理由は次のとおりです。

  • 強化されたセキュリティ
  • スピードアップ
  • 安定性の向上
  • コードの複雑さの軽減
  • クラッシュの減少
  • ハングの減少
  • モバイルデバイスのサポートの欠如

注意:

  • FirefoxはNPAPIのサポートも廃止しています-FirefoxのNPAPIプラグインをご覧ください。

    プラグインは、Webユーザーのパフォーマンスの問題、クラッシュ、およびセキュリティインシデントの原因です。

    Mozillaは、2016年末までにFirefoxのほとんどのNPAPIプラグインのサポートを削除する予定です。


Java JREの最新バージョンがインストールされているChromeユーザーにとってどのように危険なのでしょうか?

簡単な答え:Zero Day Exploits。

脆弱性の別の原因は、Javaがユーザーの介入と管理者権限を必要としない自動アップデーターをリリースしていないという事実です。たとえば、Google ChromeとFlash Playerにはあります。この機能により、ユーザーはアクションの実行を求められることなく自動更新を取得できるため、更新が容易になります。

自動更新システムがないため、過去または同様の経験でJava更新を感染ベクターとして使用していたマルウェアのため、多くのユーザーはJava更新を無視し、インストールを恐れています。

これらの脆弱性はすべて、サイバー犯罪者が成功するものであることを知ってください。

...

独自のデータベースから抽出されたデータは、JavaがAdobeのFlashプラグインに続いて、継続的なパッチ適用を必要とする2番目に大きなセキュリティ脆弱性であることを確認しています。

2015年だけでも、クライアント用のJavaランタイム環境用に105925のパッチをすでに展開しています。

ここに画像の説明を入力してください

詳細な説明と解説については、記事の残りを読んでください。

ソースなぜJavaの脆弱性がコンピューターの最大のセキュリティホールの1つなのですか?


NPAPIの最終的なカウントダウン

昨年9月、ChromeからNPAPIサポートを削除する計画を発表しました。この変更により、Chromeのセキュリティ、速度、安定性が向上し、コードベースの複雑さが軽減されます。

ソースNPAPIの最終的なカウントダウン


旧友NPAPIに別れを告げる

NPAPIの90年代のアーキテクチャは、ハング、クラッシュ、セキュリティインシデント、およびコードの複雑さの主な原因となっています。このため、Chromeは今後1年間でNPAPIサポートを廃止します。この移行に向けてウェブは準備ができていると感じています。NPAPIはモバイルデバイスではサポートされていません。Mozillaは、現在のバージョンのFlash Click-to-Playを除くすべてのプラグインをデフォルトで作成する予定です。

旧友NPAPIに別れを告げる情報源


47
Java インストーラー自体も、クラップスウェアのベクターです。毎日のJavaセキュリティアップデートでは、インストーラーのすべてのページをくまなく調べて、Oracleが新しいMacAffeeのクラップレットにバンドルされていないことを確認する必要があります。

2
@JS。何かが足りないかもしれませんが、個人的には、JavaインストーラーがJava以外の何かをインストールすることを提案するのを見たことはありません。GoogleがJavaを無効にする本当の理由は?Googleは、開発者が自分が制御できるもの以外のソフトウェアを作成することを望んでいません。
マルコム

14
@Malcom:もう一度見てください。java.comは、スポンサーオファーを無効にする方法を示しています。したがって、無効にすることを希望するスポンサーオファーが含まれています。java.com/en/download/faq/disable_offers.xml
ロスプレッサー

3
@RossPresserオラクルからダウンロードした場合、スポンサーのオファーは得られません。
DavidPostill

7
オラクルからの公式のJavaインストーラは、この含ま2011年から2015年から@Malcolm:java.com/ga/images/en/ask_offer.jpgは
ホッブズ

4

Googleが説明したように、初期のWebブラウザーでは機能を拡張するためにNetscape Plug-in API(NPAPI)が必要でした。残念ながら、基礎となるマシンへのアクセスを提供しました。したがって、プラグインに脆弱性が含まれていて、攻撃者がそれを悪用した場合、攻撃者はブラウザのサンドボックス化をバイパスしてマシンにアクセスできました。

このような攻撃ベクトルは、これまでマシンに感染するために頻繁に使用されてきたため、ブラウザでJavaを無効にする必要があるというアドバイスにつながりました。Javaプラグインによって提供される多くの機能は、ブラウザ自体(HTML5など)に組み込まれ、パフォーマンスとセキュリティが向上したり、サンドボックス(NaCLなど)で実行される拡張機能が追加されています。これが、Javaプラグインをサポートしないという決定が下された理由です。高リスクですが、実際には必要ありません。


2

長い間、JavaやFlash、Silverlightなどの他のプラグインがWebから離れています。HTML5の目標の1つは、プラグインが不要なフレームワークを作成することでした(したがって、<audio>やなどのタグ<video>)。今ではJavaをサポートする唯一の理由は、とにかく廃止されるはずのレガシーシステムとの互換性のためです。

では、なぜJavaのようなプラグインはセキュリティ上の脅威なのでしょうか?歴史は、セキュリティホールの安定した流れが常に存在し、多数のエクスプロイトを可能にすることを証明しているためです。Javaバイトコードを実行しているVMを保護することは、JavaScriptのような解釈されたスクリプト言語をサンドボックス化することよりも本質的に困難です。ただ、見ていこれらの統計を

あなたが言うように、プラグインを最新の状態に保つことは良い習慣です。しかし、それだけでは十分ではありません。まず、多くの人はそうではありません。最近、スウェーデンのNSAに相当するものでさえ、既知のセキュリティ脆弱性を持つ古いJavaプラグインを実行していることが明らかになりました。彼らがそれを正しくできない場合、平均的なホームユーザーがそうすることを期待しますか?第二に、ゼロデイから身を守る方法はありません。オラクルがどれほど速くパッチを作成しても、リスクにさらされます。

Oracleでさえ、Javaアプレットの時代が終わったことを認めています。Ars Technicaから(2016年1月):

長年にわたる非常に多くのセキュリティ欠陥の原因である、ひどく悪いJavaブラウザプラグインは、Oracleによって殺されます。それは喪に服しません。

Sun Microsystemsの2010年の購入の一環としてJavaを買収したOracleは、プラグインがJavaの次のリリースである廃止予定であると発表しました。将来のリリースでは完全に削除されます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.