Oracle hat das Aus für das inzwischen 21 Jahre alte Java-Browser-Plug-in angekündigt. Die nächste Version des Java SE Development Kit, die im März 2017 erscheinen soll, wird es erstmals ohne die als unsicher geltende Erweiterung ausliefern. Zunächst sei vorgesehen, das Java-Browser-Plug-in mit Veröffentlichung von JDK 9 (Java Development Kit) als „veraltet“ zu markieren und die Technologie „im Zuge eines künftigen Releases von Java SE (Standard Edition) sowohl aus dem Oracle JDK als auch aus der Oracle JRE (Java Runtime Environment) zu entfernen“, teilt das Unternehmen mit.
Entwicklern von Web-Anwendungen, die auf die vom Java-Plug-in unterstützten Java-Applets angewiesen sind, empfiehlt Oracle, künftig beispielsweise auf die Plug-in-freie Java-Web-Start-Technologie zu setzen. Über Migrierungsoptionen von Java-Applets hin zu Plug-in-freien Java-Technologien informiert ein Whitepaper (PDF). Erste Testversionen von JDK 9 stehen ebenfalls schon zum Download bereit.
Das Java-Browser-Plug-in basiert, wie die ebenfalls anfälligen Plattformen Adobe Flash und Microsoft Silverlight, auf NPAPI (Netscape Plug-in Application Programming Interface) – einem seit den neunziger Jahren genutzten Standard für Browser-Erweiterungen. Dieser stellt jedoch schon seit Jahren ein Sicherheitsrisiko für Desktop-Browser dar, sodass die Browser-Anbieter nach und nach den Support für die API herunterfahren.
Google kündigte beispielsweise schon im November 2014 an, ab 2015 standardmäßig alle auf NPAPI basierenden Erweiterungen zu blockieren. Damit fielen auch die bis dahin geltenden Ausnahmen für Java-, Silverlight- und Google-Earth-Plug-ins weg. Mozilla wird NPAPI-Plug-ins ab Ende 2016 nicht mehr unterstützen.
Die elektronische Signatur auf dem Vormarsch – Wie Unternehmen Prozesse verschlanken und Geld sparen können
Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.
Apple hatte bereits im Oktober 2013 das zu der Zeit noch von dem Unternehmen bereitgestellte Java-Browser-Plug-in mit der damals aktuellen Version von Java SE 6 in Mac OS 10.7 entfernt. Mit dem Update wollte Apple Nutzer dazu bewegen, von der von ihm gepflegten Java-Version auf Oracles Java Runtime umzusteigen.
Die Cisco-Tochter Sourcefire wies schon vor zwei Jahren darauf hin, dass Kriminelle es ausgesprochen häufig auf Schwachstellen in Java abgesehen haben. Die Oracle-Software hatte zu dem Zeitpunkt die zuvor beliebtesten Ziele Adobe Acrobat und Microsoft Office abgelöst. Sourcefire zufolge wurde Java damals für 91 Prozent aller Web-Angriffe als Einfallstor genutzt. Allerdings beschränkten sich die Sicherheitsforscher für ihre Studie auf Java, Microsoft Word, Excel und PowerPoint sowie den Adobe Reader.
[mit Material von Rainer Schneider, ITespresso.de]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
Noch keine Kommentare zu Oracle gibt Java-Browser-Plug-in auf
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.