Chrome में Java प्लगइन (JRE) क्यों अक्षम है?

Chrome में Java प्लगइन (JRE) क्यों अक्षम है? यह कुछ सुरक्षा चिंता है?

आधिकारिक जावा वेबसाइट से:

Chrome अब NPAPI (जावा एप्लेट के लिए आवश्यक तकनीक) का समर्थन करता है वेब ब्राउज़र के लिए जावा प्लग-इन क्रॉस प्लेटफॉर्म प्लगइन आर्किटेक्चर NPAPI पर निर्भर करता है, जिसे एक दशक से अधिक समय से सभी प्रमुख वेब ब्राउज़र द्वारा समर्थित किया गया है। Google का Chrome संस्करण 45 (सितंबर 2015 में रिलीज़ के लिए शेड्यूल किया गया है) NPAPI के लिए समर्थन छोड़ देता है, सिल्वरलाइट, जावा, फेसबुक वीडियो और अन्य समान NPAPI आधारित प्लगइन्स के लिए प्लगइन्स को प्रभावित करता है।

लेकिन किसी को पता है क्यों? जावा के नवीनतम संस्करण के साथ क्रोम उपयोगकर्ता के लिए यह खतरनाक कैसे हो सकता है?

google-chrome java

— मिशाल कुलीस्की
स्रोत

उद्धरण पोस्ट करते समय, कृपया भविष्य में स्रोत का लिंक शामिल करें।

आपने अपने प्रश्न का उत्तर दिया है: क्योंकि जावा प्लगइन NPAPI का उपयोग करता है और क्रोम अब इसका समर्थन नहीं करता है।

— गोरोस्तज

हालांकि आधिकारिक कारण अच्छा लगता है, मेरा व्यक्तिगत संदेह यह है कि Google और ओरेकल के बीच एंड्रॉइड पर गिरावट का इससे अधिक लेना देना था जितना कोई भी स्वीकार करना चाहता है।

— देव्समैन

जावा अक्षम क्यों? पहले स्थान पर "क्यों फ्लैश और जावा सक्षम हैं?" जब तक मैं वास्तव में एक साइट पर भरोसा नहीं करता, तब तक मैं जावास्क्रिप्ट को अक्षम कर देता हूं (अच्छी तरह से वास्तव में मेरे पास जावास्क्रिप्ट के बिना ब्राउज़र के लिए एक छोटा शॉर्ट कट है)

— GameDeveloper

@Devsman यदि यह सिर्फ जावा था, तो आपका तर्क प्रशंसनीय हो सकता है, लेकिन Google सभी प्लगइन्स के बाद जा रहा है (और ऐसा ही मोज़ेक है)। सिल्वरलाइट, एक्रोबैट रीडर, शॉकवेव, एकता, क्विकटाइम, रियल प्लेयर, आदि सभी एक ही प्रतिबंध हथौड़ा से प्रभावित हुए हैं। वे सभी व्यापक रूप से स्थापित थे और कम से कम कभी-कभी वर्षों से बड़ी संख्या में लोगों द्वारा उपयोग किए जाते थे। सभी चीजें जो सीधे ब्राउज़र में 5-20 साल पहले नहीं की जा सकती थीं; लेकिन जो इन दिनों सीधे ब्राउज़र इंट्रिंसिक्स या एचटीएमएल 5 द्वारा करने योग्य हैं ...

— Dan Neely

जवाबों:

Chrome में Java अक्षम क्यों है? यह कुछ सुरक्षा चिंता है?

NPAPI, और इसलिए जावा को अक्षम करने के कारणों में क्रोमियम ब्लॉग के अनुसार निम्नलिखित शामिल हैं:

सुरक्षा बढ़ा दी
वृद्धि की गति
स्थिरता में वृद्धि
कोड जटिलता में कमी
दुर्घटनाओं में कमी
फांसी में कमी
मोबाइल उपकरणों के लिए समर्थन का अभाव

ध्यान दें:

फ़ायरफ़ॉक्स भी NPAPI के लिए समर्थन छोड़ रहा है - फ़ायरफ़ॉक्स में NPAPI प्लगइन्स देखें :

प्लगइन्स वेब उपयोगकर्ताओं के लिए प्रदर्शन समस्याओं, क्रैश और सुरक्षा घटनाओं का एक स्रोत हैं।

मोज़िला ने 2016 के अंत तक फ़ायरफ़ॉक्स में अधिकांश एनपीएपीआई प्लगइन्स के लिए समर्थन को हटाने का इरादा किया है।

जावा JRE के नवीनतम संस्करण के साथ क्रोम उपयोगकर्ताओं के लिए यह खतरनाक कैसे हो सकता है?

संक्षिप्त उत्तर: शून्य दिवस शोषण।

कमजोरियों के लिए एक अन्य स्रोत तथ्य यह है कि जावा ने एक स्वचालित अपडेटर जारी नहीं किया है जिसे उपयोगकर्ता के हस्तक्षेप और प्रशासनिक अधिकारों की आवश्यकता नहीं है। उदाहरण के लिए, Google Chrome और Flash Player है। यह सुविधा उपयोगकर्ताओं को स्वचालित अपडेट प्राप्त करने की अनुमति देती है, जिससे कार्रवाई करने के लिए प्रेरित किया जा सकता है, जिससे अपडेट करना आसान हो जाता है।

स्वचालित अपडेट प्रणाली की कमी के कारण, कई उपयोगकर्ता जावा अपडेट्स को अनदेखा कर देते हैं और यहां तक कि उन्हें स्थापित करने से भी डरते हैं, क्योंकि मैलवेयर जो कि जावा अपडेट को पिछले या इसी तरह के अनुभवों में एक संक्रमण वेक्टर के रूप में उपयोग करता है।

बस इतना पता है कि इन सभी कमजोरियों पर साइबर अपराधी क्या सोचते हैं।

...

हमारे अपने डेटाबेस से निकाला गया डेटा पुष्टि करता है कि एडोब फ्लैश फ्लैश प्लगइन के बाद जावा दूसरी सबसे बड़ी सुरक्षा भेद्यता है जिसे लगातार पैचिंग की आवश्यकता होती है।

अकेले 2015 में, हमने अपने ग्राहकों के लिए जावा रनटाइम एनवायरनमेंट के लिए पहले से ही 105925 पैच तैनात किए हैं।

विस्तृत विवरण और टिप्पणी के लिए शेष लेख पढ़ें।

स्रोत जावा की कमजोरियाँ आपके कंप्यूटर पर सबसे बड़ी सुरक्षा छेदों में से एक क्यों हैं?

एनपीएपीआई के लिए अंतिम उलटी गिनती

पिछले सितंबर में हमने क्रोम से NPAPI समर्थन को हटाने के लिए अपनी योजना की घोषणा की, एक परिवर्तन जो क्रोम की सुरक्षा, गति और स्थिरता में सुधार करेगा और साथ ही साथ कोड आधार में जटिलता को कम करेगा।

स्रोत एनपीएपीआई के लिए अंतिम उलटी गिनती

अलविदा कहने के लिए हमारे पुराने दोस्त NPAPI

एनपीएपीआई का 90 के दशक का आर्किटेक्चर हैंग, क्रैश, सुरक्षा घटनाओं और कोड जटिलता का एक प्रमुख कारण बन गया है। इस वजह से, क्रोम आने वाले वर्ष में एनपीएपीआई समर्थन को चरणबद्ध करेगा। हमें लगता है कि वेब इस परिवर्तन के लिए तैयार है। एनपीएपीआई मोबाइल उपकरणों पर समर्थित नहीं है, और मोज़िला में डिफ़ॉल्ट रूप से फ्लैश क्लिक-टू-प्ले के वर्तमान संस्करण को छोड़कर सभी प्लग-इन बनाने की योजना है।

स्रोत हमारे पुराने मित्र NPAPI को अलविदा कह रहा है

— डेविडपोस्टिल
स्रोत

जावा इंस्टॉलर स्वयं ही क्रैपवेयर के लिए एक वेक्टर है। दैनिक जावा सुरक्षा अद्यतन आपको यह सुनिश्चित करने के लिए इंस्टॉलर के हर पृष्ठ के माध्यम से कंघी करने की आवश्यकता है कि ओरेकल ने कुछ नए मैकआफी क्रैडल में बंडल नहीं किया है।

@JS। शायद मैं कुछ याद कर रहा हूँ, लेकिन व्यक्तिगत रूप से मैं गया है कभी नहीं जावा के अलावा और कुछ भी स्थापित करने के लिए जावा संस्थापक प्रस्ताव देखा। वास्तविक कारण क्यों Google जावा को निष्क्रिय करता है? Google नहीं चाहता है कि डेवलपर्स किसी और चीज़ के लिए सॉफ़्टवेयर लिखें, जो उनके नियंत्रण में हो।

— मैल्कम

@ मालकॉम: एक और नज़र डालें। java.com आपको बताता है कि प्रायोजक ऑफ़र को कैसे निष्क्रिय करना है; इसलिए, वे प्रायोजक प्रस्तावों को शामिल करते हैं जो लोग अक्षम करना चाहते हैं। java.com/en/download/faq/disable_offers.xml

— रॉस प्रेसर

@RossPresser यदि आप ओरेकल से डाउनलोड करते हैं तो आपको प्रायोजक ऑफ़र नहीं मिलते हैं।

— डेविडपोस्टिल

2011-2015 से @Malcolm में ओरेकल के आधिकारिक जावा इंस्टॉलर ने इसे शामिल किया: java.com/ga/images/en/ask_offer.jpg

— hobbs

जैसा कि Google द्वारा समझाया गया है , नेटस्केप प्लग-इन एपीआई (एनपीएपीआई) को अपनी सुविधाओं का विस्तार करने के लिए वेब ब्राउज़र के शुरुआती दिनों में आवश्यक था। दुर्भाग्य से, इसने अंतर्निहित मशीन तक पहुंच प्रदान की। इस प्रकार, यदि प्लग में एक भेद्यता है और एक हमलावर ने इसका शोषण किया, तो हमलावर ने ब्राउज़र के सैंडबॉक्सिंग को दरकिनार कर दिया और मशीन तक पहुंच प्राप्त की।

मशीनों पर हमला करने के लिए इस तरह के हमले वाले वैक्टरों का भारी उपयोग किया गया है, जिससे यह सलाह मिलती है कि आपको अपने ब्राउज़र पर जावा को अक्षम करना चाहिए। जावा प्लगइन्स द्वारा प्रदान की जाने वाली कई विशेषताएं अब ब्राउज़र द्वारा स्वयं (उदाहरण के लिए HTML5) बेहतर प्रदर्शन और सुरक्षा के साथ या सैंडबॉक्स में चल रहे एक्सटेंशन (जैसे NaCL ) के साथ शामिल हैं। इसलिए जावा प्लगइन्स का समर्थन नहीं करने का निर्णय किया गया है: उच्च जोखिम, लेकिन इसके लिए कोई वास्तविक आवश्यकता नहीं है।

— रोनी
स्रोत

लंबे समय से वेब पर फ्लैश या सिल्वरलाइट जैसे अन्य प्लगइन्स के साथ-साथ जावा से दूर एक चाल है। एचटीएमएल 5 में से एक लक्ष्य एक ऐसा ढांचा बनाना था जहां प्लगइन्स की जरूरत न हो (इसलिए जैसे टैग <audio>और <video>)। अब तक जावा का समर्थन करने का एकमात्र कारण विरासत प्रणालियों के साथ संगतता के लिए है जो शायद वैसे भी अब तक सेवानिवृत्त हो जाना चाहिए था।

तो क्यों जावा जैसे प्लगइन्स एक सुरक्षा खतरा है? क्योंकि इतिहास ने साबित कर दिया है कि शोषण की एक भीड़ के लिए अनुमति देने वाले सुरक्षा छिद्रों की हमेशा एक स्थिर धारा होगी। जावास्क्रिप्ट द्वारा व्याख्या की गई स्क्रिप्ट भाषा को सैंडबॉक्स करने के लिए वीएम रनिंग जावा बाईटेकोड को सुरक्षित करना केवल स्वाभाविक रूप से कठिन है। बस इन आंकड़ों पर एक नजर है ।

जैसा कि आप कहते हैं, अपने प्लगइन्स को अपडेट रखने के लिए यह एक अच्छा अभ्यास है। पर यह पर्याप्त नहीं है। सबसे पहले, बहुत से लोग नहीं करते हैं। यह हाल ही में पता चला था कि एनएसए के स्वीडिश समकक्ष भी ज्ञात सुरक्षा कमजोरियों के साथ पुराने जावा प्लगइन्स चला रहे थे। यदि वे इसे सही नहीं पाते हैं, तो क्या आप औसत घरेलू उपयोगकर्ता से ऐसा करने की उम्मीद करते हैं? दूसरा, ऐसा कोई तरीका नहीं है जिससे आप खुद को शून्य दिनों से बचा सकें। कोई फर्क नहीं पड़ता कि ओरेकल कितनी तेजी से पैच का उत्पादन करता है, आप जोखिम में होंगे।

यहां तक कि ओरेकल ने भी स्वीकार किया है कि जावा एप्लेट्स का युग खत्म हो चुका है। से अर्स टेक्निका (जनवरी 2016):

पिछले कुछ वर्षों में बहुत सारे सुरक्षा दोषों के स्रोत, द्वेषपूर्ण जावा ब्राउज़र प्लगइन, ओरेकल द्वारा मार दिया जाना है। इसका शोक नहीं होगा।

ओरेकल, जिसने सन माइक्रोसिस्टम्स की 2010 की खरीद के हिस्से के रूप में जावा का अधिग्रहण किया है, ने घोषणा की है कि जावा के अगले रिलीज संस्करण 9 में प्लगइन को हटा दिया जाएगा, जो वर्तमान में एक शुरुआती एक्सेस बीटा के रूप में उपलब्ध है। भविष्य की रिलीज़ इसे पूरी तरह से हटा देगी।