40 votes

James avatar

Pourquoi le plugin Java (JRE) est-il désactivé dans Chrome?

Demandé el 13 de Juin, 2016
Quand la question a-t-elle été
16495 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Pourquoi le plugin Java (JRE) est-il désactivé dans Chrome? Est-ce lié à des problèmes de sécurité?

Depuis le site officiel de Java:

Chrome ne prend plus en charge NPAPI (technologie requise pour les applets Java) Le plug-in Java pour les navigateurs web repose sur l'architecture de plugin multiplateforme NPAPI, qui a été prise en charge par tous les principaux navigateurs web depuis plus d'une décennie. La version 45 de Google Chrome (prévue pour être publiée en septembre 2015) abandonne la prise en charge de NPAPI, impactant les plugins pour Silverlight, Java, Facebook Video et d'autres plugins similaires basés sur NPAPI.

Mais quelqu'un sait pourquoi? En quoi cela pourrait-il être dangereux pour un utilisateur de Chrome avec la dernière version de Java JRE installée?

Demandé el 13 de Juin, 2016 par James

Réponses

Trop de publicités?

60voto

DavidPostill avatar
DavidPostill Points 140654

Pourquoi Java est-il désactivé dans Chrome? Est-ce lié à des problèmes de sécurité?

Les raisons ayant entraîné la désactivation de NPAPI, et donc de Java, incluent les éléments suivants selon le blog Chromium:

  • Sécurité accrue
  • Vitesse accrue
  • Stabilité accrue
  • Réduction de la complexité du code
  • Réduction des crashs
  • Réduction des blocages
  • Manque de prise en charge pour les appareils mobiles

Note:

  • Firefox abandonne également la prise en charge de NPAPI - Voir Plugins NPAPI dans Firefox:

    Les plugins sont une source de problèmes de performances, de crashs et d'incidents de sécurité pour les utilisateurs du Web.

    Mozilla prévoit de supprimer la prise en charge de la plupart des plugins NPAPI dans Firefox d'ici la fin de 2016.

Comment cela pourrait-il être dangereux pour les utilisateurs de Chrome avec la dernière version de Java JRE installée?

Réponse courte: Exploits Zero Day.

Une autre source de vulnérabilités est le fait que Java n'a pas publié de mise à jour automatique ne nécessitant pas d'intervention de l'utilisateur et de droits administratifs. Par exemple, Google Chrome et Flash Player l'ont fait. Cette fonctionnalité permet aux utilisateurs de recevoir des mises à jour automatiques sans être invités à agir, rendant les mises à jour plus faciles.

En raison de l'absence d'un système de mises à jour automatiques, de nombreux utilisateurs ignorent les mises à jour de Java et redoutent même de les installer, en raison des logiciels malveillants qui ont utilisé les mises à jour de Java comme vecteur d'infection dans le passé ou d'expériences similaires.

Sachez simplement que toutes ces vulnérabilités sont ce sur quoi les cybercriminels prospèrent.

...

Les données extraites de notre propre base de données confirment que Java est la deuxième plus grande vulnérabilité de sécurité nécessitant des patchs constants, après le plugin Flash d'Adobe.

Rien qu'en 2015, nous avons déjà déployé 105925 correctifs pour l'Environnement d'Exécution Java pour nos clients.

description de l'image

Lisez le reste de l'article pour une explication et un commentaire détaillés.

Source Pourquoi les vulnérabilités de Java sont l'une des plus grandes failles de sécurité de votre ordinateur?

Le Compte à Rebours Final pour NPAPI

En septembre dernier, nous avons annoncé notre plan de supprimer le support de NPAPI dans Chrome, un changement qui améliorera la sécurité, la vitesse et la stabilité de Chrome ainsi que réduira la complexité de la base de code.

Source Le Compte à Rebours Final pour NPAPI

Dire Adieu à Notre Vieil Ami NPAPI

L'architecture de NPAPI de l'ère des années 90 est devenue la principale cause de blocages, de crashs, d'incidents de sécurité et de complexité du code. Pour cette raison, Chrome éliminera progressivement le support de NPAPI au cours de l'année à venir. Nous pensons que le web est prêt pour cette transition. NPAPI n'est pas pris en charge sur les appareils mobiles, et Mozilla prévoit de rendre tous les plug-ins, sauf la version actuelle de Flash, cliquables par défaut.

Source Dire Adieu à Notre Vieil Ami NPAPI

Répondu el 13 de Juin, 2016 par DavidPostill (140654 Points )

4voto

Ronny avatar
Ronny Points 141

Comme expliqué par Google, l'API des plug-ins Netscape (NPAPI) était nécessaire aux débuts des navigateurs web pour étendre leurs fonctionnalités. Malheureusement, cela donnait accès à la machine sous-jacente. Ainsi, si le plug-in contenait une vulnérabilité et qu'un attaquant l'exploitait, l'attaquant contournait l'isolation du navigateur et avait accès à la machine.

Ces vecteurs d'attaque ont été largement utilisés dans le passé pour infecter les machines, conduisant au conseil de désactiver Java sur votre navigateur. De nombreuses fonctionnalités fournies par les plug-ins Java sont désormais incluses par le navigateur lui-même (par exemple, HTML5) avec de meilleures performances et une meilleure sécurité, ou avec des extensions s'exécutant dans un bac à sable (par exemple, NaCL). C'est pourquoi la décision de ne plus prendre en charge les plug-ins Java a été prise : un risque élevé, mais pas de réel besoin pour cela.

Répondu el 13 de Juin, 2016 par Ronny (141 Points )

2voto

Anders avatar
Anders Points 123

Pendant longtemps, il y a eu un mouvement loin de Java, ainsi que d'autres plugins comme Flash ou Silverlight, sur le web. Un des objectifs avec HTML5 était de créer un framework où les plugins ne sont pas nécessaires (d'où les balises telles queet ). À présent, la seule raison de soutenir Java est pour la compatibilité avec des systèmes hérités qui auraient probablement dû être retirés à ce stade.

Alors pourquoi des plugins comme Java sont-ils une menace pour la sécurité? Parce que l'histoire a prouvé qu'il y aura toujours un flux constant de failles de sécurité permettant une multitude d'exploitations. Il est tout simplement plus difficile de sécuriser une VM exécutant du bytecode Java que de mettre en sandbox un langage de script interprété comme JavaScript. Jetez un œil à ces statistiques.

Comme vous le dites, c'est une bonne pratique de maintenir vos plugins à jour. Mais ce n'est pas suffisant. Tout d'abord, beaucoup de gens ne le font pas. Il a récemment été révélé que même l'équivalent suédois de la NSA exécutait des plugins Java obsolètes avec des vulnérabilités de sécurité connues. S'ils ne peuvent pas le faire correctement, pensez-vous que l'utilisateur moyen à domicile le fera? Deuxièmement, il n'y a aucun moyen de se protéger contre les zero days. Peu importe à quelle vitesse Oracle produit des correctifs, vous serez toujours en danger.

Même Oracle a reconnu que l'époque des applets Java est révolue. D'après Ars Technica (janv. 2016) :

Le plugin du navigateur Java, tant critiqué, source de tant de failles de sécurité au fil des ans, va être abandonné par Oracle. Il ne sera pas pleuré.

Oracle, qui a acquis Java dans le cadre de son acquisition de Sun Microsystems en 2010, a annoncé que le plugin sera déprécié dans la prochaine version de Java, la version 9, qui est actuellement disponible en version bêta d'accès anticipé. Une future version le supprimera entièrement.

Répondu el 13 de Juin, 2016 par Anders (123 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X