Java-плагин уходит в прошлое

Как стало известно из анонса, в девятой версии Java Development Kit не будет браузерного плагина. На портале разработчиков сообщается, что такое решение было принято в Oracle по целому ряду причин. Однако сам Java-плагин ещё востребован в отдельных специфических задачах, поэтому отказ от него будет непростым процессом, который наверняка растянется во времени.

Появившись в девяностых годах, Java-плагин был призваны наделить веб-страницы функциональностью приложений с помощью обработки Java-апплетов. Однако с появлением HTML5 и других современных средств веб-разработки потребность в их использовании постепенно отпала.

Одновременно нарастало недовольство количеством ошибок в JRE, многие из которых получали статус критических. В базе MITRE накопилось 1434 уязвимостей, связанных с платформой Java, из которых 50 затрагивают непосредственно браузерный плагин.

Специалисты по безопасности считают Java SE и джава-плагин самыми уязвимыми компонентами при веб-сёрфинге. Большая часть эксплоитов и drive-by угроз на просторах интернета используют ошибки в Java-платформе и её взаимодействии с браузерами.

Ситуация порой доходила до абсурда. В прошлом году директор Oracle по безопасности Мэри Энн Дэвидсон опубликовала в корпоративном блоге большую заметку, общий смысл которой сводится к требованию прекратить присылать сообщения об уязвимостях, найденных в продуктах Oracle, и пытаться анализировать их код как самостоятельно, так и с привлечением сторонних специалистов.

Рейтинг платформ и приложений по числу уязвимостей (изображение: av-test.org).

Проблема усугубляется тем, что для осуществления различных атак злоумышленниками часто используется техника повышения привилегий процесса. При её применении запущенный браузером исполняемый код может выйти за пределы дозволенной области памяти, после чего произвести изменения системного уровня – переписать файл hosts, настройки SPI/LSP, добавить объекты автозапуска, установить бэкдор и накачать табун троянов.

Если жертвы социального инжиниринга заражаются в результате обмана и собственной некомпетентности, то применение эксплоитов не требует каких-либо действий со стороны пользователя. При отсутствии дополнительных средств защиты достаточно посетить злонамеренно модифицированную страницу и компьютер окажется инфицирован. Браузерные плагины существенно упрощают такое автоматическое заражение.

В последнее время от поддержки плагинов в браузерах уже стали отказываться другие крупные разработчики. Google убрала её в Chrome ещё в сентябре прошлого года. Microsoft отменила её в Edge, а Mozilla планирует отказаться от плагинов в Firefox до конца года. Поэтому даже если Oracle и решила бы продолжать развитие своего Java-плагина, он не получил бы значимого распространения.

Технически с ним могли бы работать только старые версии браузеров – например, IE 11 и Safari. С другой стороны, многие фирмы активно используют функционал Java-плагинов в корпоративных приложениях и бизнес-процессах. Производители активного сетевого оборудования тоже часто делают управляющий веб-интерфейс средствами джава-апплетов. К примеру, так настраивается большинство маршрутизаторов и сетевых камер.

Поэтому Oracle опубликовала для пользователей и разработчиков руководство по миграции с рекомендациями о том, что делать при необходимости использовать Java-плагины после официальной отмены их поддержки. К примеру, джава-апплеты предлагается переписать в приложения JWS (Java Web Start).

Похоже, в скором времени аналогичная судьба постигнет и другие браузерные плагины, в в частности – Adobe Flash и Microsoft Silverlight. По числу ошибок они стоят в рейтинге TOP10 уязвимых компонентов сразу после Java. Фактически сегодня они создают больше проблем, чем решают.