Oracle tidigare i veckan meddelade sitt beslut att skrota sin Java-browser plug-in.
Plug-in, vilket har varit ett vanligt mål för hackers, kommer inte att ingå i nästa version av kit för Java-utvecklare, JDK 9, där det förväntas att leverera i September.
Oracles åtgärden var motiverad av webbläsare beslutsfattare ” tillbakadragande av stöd för plug-in.
Som leverantörer av webbläsare begränsa och minska stöd för plug-ins i sina produkter, utvecklare av applikationer som är beroende av Java plug-in att behöva överväga alternativ, sade företaget.
Offer för Mobil
I en vitbok för utvecklare som släpptes den här månaden, sade Oracle plug-ins har blivit främmande i en teknisk värld som är allt mer mobila.
“Ökningen av webb-användning på mobila enhetens webbläsare, vanligtvis utan stöd för plugins, allt lett webbläsare beslutsfattare för att man vill begränsa och ta bort standarder baserat plugin stöd från sina produkter, som de försökt att förena uppsättning av funktioner som finns tillgängliga i hela stationära och mobila versioner,” vitt papper sa.
“Google och Microsoft har redan fått sig borta från att använda Java plug-in,” sade Jim McGregor, chefsanalytiker på
Tirias Forskning.
“Det är en utveckling av den programvara miljö”, sa han till TechNewsWorld. “Plug-ins var bra när vi var först att försöka att aktivera mms-funktioner på webbplatser, men de sätt som saker är programmerade nu, de är mer en säkerhets risk än en fördel.”
Historia av Utsatthet
Plug-ins är liknande till webbläsare, men med en mycket mer behörigheter, konstaterade Alex Smith, direktör för identity and access management-produkter
Intermedia.
“De var i första hand skapats för att göra det möjligt för icke-HTML-innehåll för att kunna visas i webbläsaren. Ett program utanför webbläsaren, som en PDF-läsare, som faktiskt skulle göra halt och sedan visa den i webbläsaren,” han berättade TechNewsWorld.
“I fall av Java plug-in, detta gör att Java-koden-inte JavaScript — utföras lokalt — det är, utanför webbläsaren — och visas i webbläsarfönstret,” Smith sa.
“Eftersom Java-klient har en lång historia av säkerhetsproblem och slarvig lapp, gör det till en riktigt attraktiv angrepp när det paras ihop med en webbläsare,” tillade han.
Eftersom de senaste versionerna av de ledande webbläsare har stängt av Java plug-in, Oracles flytta kommer inte att påverka många konsumenter, men det kan ha en inverkan på vissa företag.
“Jag bara verkligen se den användas för gamla program, typiskt egenutvecklade appar som borde ha dött år sedan,” Smith sa.
“Tvingar företag att hantera och ta bort detta arv skit kan vara smärtsamt på kort sikt, men det är alltid rätt sak att göra på lång sikt,” tillade han.
HTML5 eller Web Start?
För vissa företag, men i pension de gamla appar-även under namnet säkerhet-kan visa sig vara svårt.
“Sammantaget är detta ett bra steg framåt, men det spelar ingen adress äldre beroenden,” sa Simon Crosby, CTO på
Bromium.
“Till exempel, om ditt företag använder Oracle ERP 11, du är fortfarande fast på Java 6 eller 7 på endpoint, som har en bedrövad säkerhet rekord”, sade han TechNewsWorld. “Du kan inte köpa ett nytt ERP-system bara för att förhindra cyberattacker.”
Dra ur kontakten på Java plug-in innebär att utvecklare kommer att ha för att flytta alla appar som använder det till en annan teknik. Oracle rekommenderar att du använder Java Web Start, även om det kanske inte är det bästa alternativet.
“Jag tror att de flesta leverantörer bör investera i HTML5-teknik som är inbyggt i webbläsaren och ta emot den utveckling uppmärksamhet av hela samhället,” Wolfgang Kandek, CTO på
Qualys, berättade TechNewsWorld.
Ta bort onödiga plug-ins från webbläsare kan bara förbättra säkerheten, säger Craig Williams, senior teknisk ledare på Ciscos
Talos Security Intelligence och forskargrupp.
“Genom att ta bort plugin-program från webbläsaren”, sa han till TechNewsWorld, “vi tar bort denna attack yta, vilket gör att alla användare mer säker från både kända och okända zero-day sårbarheter.”
