Oracle tidligere denne uken kunngjorde sin beslutning om å vrake sin Java nettleser-plug-in.
Den plug-in, som har vært en hyppig målet for hackere, vil ikke bli inkludert i neste versjon av kit for Java-utviklere, JDK 9, som forventes å lanseres i September.
Oracle ‘s handling var motivert av nettleseren beslutningstakere” uttak av støtte for plug-in.
Som leseren leverandører begrense og redusere støtte for plug-ins i sine produkter, utviklere av programmer som er avhengige av Java plug-in behov for å vurdere andre alternativer, selskapet sa.
Offer for Mobil
I et hvitt papir for utviklere lansert denne måneden, Oracle sa programtillegg har blitt uønsket i en teknisk verden som er stadig mer mobile.
“Fremveksten av internett-bruk på mobile enheten nettlesere, vanligvis uten støtte for plugins, i stadig større grad ført nettleser beslutningstakere til å ønske å begrense og fjerne standarder basert plugin støtte fra sine produkter, mens de prøvde å forene de funksjonene som er tilgjengelige på tvers av stasjonære og mobile versjoner,” den hvite papiret er sagt.
“Google og Microsoft har allerede fått bort fra å bruke Java plug-in,” sa Jim McGregor, rektor analytiker ved
Tirias Forskning.
“Det er en utvikling av programvare-miljøet,” fortalte han TechNewsWorld. “Plug-ins var stor da vi ble først prøver å aktivere multimedia-funksjoner på nettsteder, men sånn som ting er nå programmert, de er mer en sikkerhet fare enn en fordel.”
Historie av Sårbarhet
Plug-ins er lik leserutvidelser, men med en mye mer tillatelser, bemerket Alex Smith, leder av identity and access management produkter på
Intermedia.
“De ble først og fremst opprettet for å tillate ikke-HTML-innhold bli sett fra i nettleseren. Et program utenfor nettleseren, som en PDF-leser, ville faktisk gjengi innholdet og deretter vise det i nettleseren,” fortalte han TechNewsWorld.
“I tilfelle av Java plug-in, dette gjør at Java-kode, ikke JavaScript-til å bli utført lokalt, dvs. utenfor nettleseren — og vises i en nettleser,” Smith sa.
“Siden Java-klienten har en lang historie med sikkerhet bugs og våt lapp, det gjør for en virkelig attraktiv angrepsvektor når den er koblet sammen med en nettleser,” la han til.
Fordi de nyeste versjonene av de ledende nettlesere har deaktivert Java plug-in, Oracle ‘ s move påvirker ikke mange forbrukere, men det kan ha en innvirkning på enkelte bedrifter.
“Jeg bare se det i virkeligheten brukes for legacy-applikasjoner, typisk i-huset-utviklet apps som skal ha dødd for mange år siden,” Smith sa.
“Tvinger bedrifter til å håndtere og fjerne denne arven dritt kan være smertefullt, på kort sikt, men det er alltid den riktige tingen å gjøre på lang sikt,” la han til.
HTML5 eller Web Start?
For noen selskaper, men med pensjon de eldre programmer — selv i navnet security-kan vise seg å være vanskelig.
“Totalt sett er dette et godt skritt fremover, men det betyr ikke adressen eldre avhengigheter,” sa Simon Crosby, administrerende direktør hos
Bromium.
“For eksempel, dersom ditt firma bruker Oracle ERP-11, er du fortsatt fast på Java 6 eller 7 på klientmaskiner, som har en bedrøvelige sikkerhet posten,” fortalte han TechNewsWorld. “Du kan ikke kjøpe en ny ERP-system bare for å hindre nettangrep.”
Å trekke ut støpselet på Java plug-in betyr at utviklerne er nødt til å flytte noen apper som bruker det til en annen teknologi. Oracle anbefaler bruk av Java Web Start, selv om det kanskje ikke være det beste alternativet.
“Jeg tror at de fleste leverandører bør investere i HTML5-teknologi som er innfødt til leseren og motta utvikling oppmerksomhet av hele samfunnet,” Wolfgang Kandek, CTO i
Qualys, fortalte TechNewsWorld.
Fjerne unødvendige plug-ins fra nettlesere kan bare forbedre sikkerheten, sa Craig Williams, senior teknisk leder på Ciscos
Talos Security Intelligence og Research Group.
“Ved å fjerne plug-ins fra nettleseren,” fortalte han TechNewsWorld, “vi fjerne dette angrepet overflate, noe som gjør at alle brukere mer trygg fra både kjente og ukjente zero-day sårbarheter.”
