Новости    Библиотека    Байки    Ссылки    О сайте


28.01.2016

Java-плагин уходит в прошлое

Как стало известно из анонса, в девятой версии Java Development Kit не будет браузерного плагина. На портале разработчиков сообщается, что такое решение было принято в Oracle по целому ряду причин. Однако сам Java-плагин ещё востребован в отдельных специфических задачах, поэтому отказ от него будет непростым процессом, который наверняка растянется во времени.

Java-плагин уходит в прошлое
Java-плагин уходит в прошлое

Появившись в девяностых годах, Java-плагин был призваны наделить веб-страницы функциональностью приложений с помощью обработки Java-апплетов. Однако с появлением HTML5 и других современных средств веб-разработки потребность в их использовании постепенно отпала.

Одновременно нарастало недовольство количеством ошибок в JRE, многие из которых получали статус критических. В базе MITRE накопилось 1434 уязвимостей, связанных с платформой Java, из которых 50 затрагивают непосредственно браузерный плагин.

Специалисты по безопасности считают Java SE и джава-плагин самыми уязвимыми компонентами при веб-сёрфинге. Большая часть эксплоитов и drive-by угроз на просторах интернета используют ошибки в Java-платформе и её взаимодействии с браузерами.

Ситуация порой доходила до абсурда. В прошлом году директор Oracle по безопасности Мэри Энн Дэвидсон опубликовала в корпоративном блоге большую заметку, общий смысл которой сводится к требованию прекратить присылать сообщения об уязвимостях, найденных в продуктах Oracle, и пытаться анализировать их код как самостоятельно, так и с привлечением сторонних специалистов.

Рейтинг платформ и приложений по числу уязвимостей
Рейтинг платформ и приложений по числу уязвимостей

Проблема усугубляется тем, что для осуществления различных атак злоумышленниками часто используется техника повышения привилегий процесса. При её применении запущенный браузером исполняемый код может выйти за пределы дозволенной области памяти, после чего произвести изменения системного уровня – переписать файл hosts, настройки SPI/LSP, добавить объекты автозапуска, установить бэкдор и накачать табун троянов.

Если жертвы социального инжиниринга заражаются в результате обмана и собственной некомпетентности, то применение эксплоитов не требует каких-либо действий со стороны пользователя. При отсутствии дополнительных средств защиты достаточно посетить злонамеренно модифицированную страницу и компьютер окажется инфицирован. Браузерные плагины существенно упрощают такое автоматическое заражение.

В последнее время от поддержки плагинов в браузерах уже стали отказываться другие крупные разработчики. Google убрала её в Chrome ещё в сентябре прошлого года. Microsoft отменила её в Edge, а Mozilla планирует отказаться от плагинов в Firefox до конца года. Поэтому даже если Oracle и решила бы продолжать развитие своего Java-плагина, он не получил бы значимого распространения.

Java-плагин уходит в прошлое
Java-плагин уходит в прошлое

Технически с ним могли бы работать только старые версии браузеров – например, IE 11 и Safari. С другой стороны, многие фирмы активно используют функционал Java-плагинов в корпоративных приложениях и бизнес-процессах. Производители активного сетевого оборудования тоже часто делают управляющий веб-интерфейс средствами джава-апплетов. К примеру, так настраивается большинство маршрутизаторов и сетевых камер.

Поэтому Oracle опубликовала для пользователей и разработчиков руководство по миграции с рекомендациями о том, что делать при необходимости использовать Java-плагины после официальной отмены их поддержки. К примеру, джава-апплеты предлагается переписать в приложения JWS (Java Web Start).

Похоже, в скором времени аналогичная судьба постигнет и другие браузерные плагины, в частности – Adobe Flash и Microsoft Silverlight. По числу ошибок они стоят в рейтинге TOP10 уязвимых компонентов сразу после Java. Фактически, сегодня они создают больше проблем, чем решают.

Андрей Васильков


Источники:

  1. novostey.com






В Китае робот сдал тест для поступления в университет

Россия будет защищена от внешнего отключения Рунета к 2021 году

О конференции Strata AI: будущее искусственного интеллекта

Китайский самообучающийся процессор сможет имитировать работу нервных клеток человека

Илон Маск работает над интерфейсом для подключения мозга к компьютеру

Загадка QWERTY: почему буквы на клавиатуре расположены не в алфавитном порядке

Нейронную сеть научили практически идеально копировать человеческий голос





© Злыгостев Алексей Сергеевич, подборка материалов, оцифровка, статьи, оформление, разработка ПО 2001-2017
При копировании материалов проекта обязательно ставить активную ссылку на страницу источник:
http://informaticslib.ru/ "InformaticsLib.ru: Информатика"