কেন জাভা প্লাগইন (জেআরই) ক্রোমে অক্ষম?


40

কেন জাভা প্লাগইন (জেআরই) ক্রোমে অক্ষম? এটি কি কিছুটা সুরক্ষা উদ্বেগ?

অফিসিয়াল জাভা ওয়েবসাইট থেকে:

ক্রোম আর এনপিএপিআই সমর্থন করে না (জাভা অ্যাপলেটগুলির জন্য প্রয়োজনীয় প্রযুক্তি) ওয়েব ব্রাউজারগুলির জন্য জাভা প্লাগ-ইন ক্রস প্ল্যাটফর্ম প্লাগইন আর্কিটেকচার এনপিএপিআইয়ের উপর নির্ভর করে, যা এক দশক ধরে সমস্ত বড় ওয়েব ব্রাউজার সমর্থন করে। গুগলের ক্রোম সংস্করণ ৪৫ (সেপ্টেম্বর ২০১৫ এ প্রকাশের জন্য নির্ধারিত) এনপিএপিআইয়ের পক্ষে সমর্থন ছাড়ছে, সিলভারলাইট, জাভা, ফেসবুক ভিডিও এবং অন্যান্য অনুরূপ এনপিএপিআই ভিত্তিক প্লাগইনগুলির জন্য প্লাগইনকে প্রভাবিত করবে।

তবে কেউ জানে কেন? জাভা জেআরই এর সর্বশেষতম সংস্করণ ইনস্টল করা Chrome ক্রোম ব্যবহারকারীদের পক্ষে কীভাবে বিপজ্জনক হতে পারে?


1
উদ্ধৃতি পোস্ট করার সময়, ভবিষ্যতে উত্সটির একটি লিঙ্ক অন্তর্ভুক্ত করুন।

8
আপনি আপনার প্রশ্নের উত্তর দিয়েছেন: কারণ জাভা প্লাগইন এনপিএপিআই ব্যবহার করে এবং ক্রোম আর এটি সমর্থন করে না।
গ্রোনস্টাজ

7
যদিও আনুষ্ঠানিক কারণটি ভাল বলে মনে হচ্ছে, আমার ব্যক্তিগত সন্দেহ হ'ল অ্যান্ড্রয়েডের মাধ্যমে গুগল এবং ওরাকল এর মধ্যে পড়ে যাওয়াটির সাথে এর সাথে আরও অনেক কিছু করার ছিল যা কেউ স্বীকার করতে চায়।
দেবসমান

2
জাভা অক্ষম কেন? প্রথম স্থানে "কেন ফ্ল্যাশ এবং জাভা সক্ষম?" আমি যতটা সত্যই কোনও সাইটের উপর বিশ্বাস না করি আমি জাভাস্ক্রিপ্টকে অক্ষম করে দিই (বাস্তবে জাভাস্ক্রিপ্ট ব্যতীত ব্রাউজারের জন্য আমার ডেস্কটপ শর্ট কাট রয়েছে)
গেমডেভোপার

1
@ ডেভসম্যান যদি এটি কেবল জাভা হয় তবে আপনার যুক্তি প্রশংসনীয় হতে পারে তবে গুগল সমস্ত প্লাগইন অনুসরণ করছে (এবং মোজিলাও তাই)। সিলভারলাইট, অ্যাক্রোব্যাট রিডার, শকওয়েভ, unityক্য, কুইকটাইম, রিয়েল প্লেয়ার ইত্যাদি সমস্ত একই ব্যান হাতুড়ি দ্বারা আঘাত পেয়েছে। এগুলি সমস্ত ব্যাপকভাবে ইনস্টল করা ছিল এবং অন্তত কয়েক বছর ধরে বহু সংখ্যক লোক ব্যবহার করেছিল। সমস্ত সরবরাহিত জিনিস যা ব্রাউজারে সরাসরি 5-20 বছর আগে করা যায়নি; তবে যা বর্তমানে ব্রাউজার অভ্যন্তরীণ বা এইচটিএমএল 5 এর মাধ্যমে সরাসরি
করণীয়

উত্তর:


59

কেন জাভা ক্রোমে অক্ষম? এটি কি কিছুটা সুরক্ষা উদ্বেগ?

এনপিএপিআই নিষ্ক্রিয় করার কারণগুলি, এবং তাই জাভা, ক্রোমিয়াম ব্লগ অনুসারে নিম্নলিখিতগুলি অন্তর্ভুক্ত করে:

  • সুরক্ষা বাড়িয়েছে
  • গতি বেড়েছে
  • স্থিতিশীলতা বৃদ্ধি
  • কোড জটিলতা হ্রাস
  • ক্র্যাশ হ্রাস
  • ফাঁসিতে হ্রাস
  • মোবাইল ডিভাইসগুলির জন্য সমর্থনের অভাব

বিঃদ্রঃ:

  • ফায়ারফক্স এনপিএপিআইয়ের জন্য সমর্থনও বাদ দিচ্ছে - ফায়ারফক্সে এনপিএপিআই প্লাগইনগুলি দেখুন :

    প্লাগইনগুলি ওয়েব ব্যবহারকারীদের জন্য কর্মক্ষমতা সমস্যা, ক্রাশ এবং সুরক্ষা ইভেন্টগুলির উত্স।

    মোজিলা ২০১ Firef সালের শেষের দিকে ফায়ারফক্সে বেশিরভাগ এনপিএপিআই প্লাগইনগুলির জন্য সমর্থন সরিয়ে নিতে চায়।


জাভা জেআরই এর সর্বশেষতম সংস্করণ ইনস্টল থাকা ক্রোম ব্যবহারকারীদের পক্ষে কীভাবে বিপজ্জনক হতে পারে?

সংক্ষিপ্ত উত্তর: জিরো ডে এক্সপ্লয়েটস।

দুর্বলতার জন্য অন্য উত্সটি হ'ল জাভা এমন একটি স্বয়ংক্রিয় আপডেটেটার প্রকাশ করেনি যা ব্যবহারকারীর হস্তক্ষেপ এবং প্রশাসনিক অধিকারের প্রয়োজন হয় না। উদাহরণস্বরূপ, গুগল ক্রোম এবং ফ্ল্যাশ প্লেয়ার রয়েছে। এই বৈশিষ্ট্যটি ব্যবহারকারীদেরকে পদক্ষেপ নেওয়ার অনুরোধ না করে আপডেটগুলি সহজতর করে স্বয়ংক্রিয় আপডেটগুলি পেতে দেয়।

একটি স্বয়ংক্রিয় আপডেট সিস্টেমের অভাবে, অনেক ব্যবহারকারী জাভা আপডেটগুলি উপেক্ষা করে এমনকি সেগুলি ইনস্টল করার ভয়ও করে, কারণ ম্যালওয়্যার যা অতীতে বা অনুরূপ অভিজ্ঞতায় জাভা আপডেটগুলি সংক্রমণ ভেক্টর হিসাবে ব্যবহার করেছিল।

কেবল জেনে থাকুন যে এই সমস্ত দুর্বলতাগুলি সাইবার অপরাধীদের দ্বারা সাফল্য লাভ করে।

...

আমাদের নিজস্ব ডাটাবেস থেকে প্রাপ্ত ডেটা নিশ্চিত করে যে জাভা দ্বিতীয় বৃহত্তম সুরক্ষা দুর্বলতা যা অ্যাডোবের ফ্ল্যাশ প্লাগইন এর পরে ধ্রুবক প্যাচিংয়ের প্রয়োজন।

একমাত্র 2015 সালে, আমরা ইতিমধ্যে আমাদের ক্লায়েন্টদের জন্য জাভা রানটাইম এনভায়রনমেন্টের জন্য 105925 প্যাচ স্থাপন করেছি।

এখানে চিত্র বর্ণনা লিখুন

বিস্তারিত ব্যাখ্যা এবং ভাষ্যের জন্য নিবন্ধের বাকী অংশটি পড়ুন।

উত্স কেন জাভা এর দুর্বলতা আপনার কম্পিউটারে অন্যতম বৃহত্তম সুরক্ষা হোল?


এনপিএপিআইয়ের জন্য চূড়ান্ত গণনা

গত সেপ্টেম্বরে আমরা ক্রোম থেকে এনপিএপিআই সমর্থন সরানোর জন্য আমাদের পরিকল্পনার ঘোষণা দিয়েছিলাম, এটি এমন একটি পরিবর্তন যা ক্রোমের সুরক্ষা, গতি এবং স্থায়িত্বের উন্নতি করার পাশাপাশি কোড বেসের জটিলতা হ্রাস করবে।

উত্স এনপিএপিআইয়ের জন্য চূড়ান্ত গণনা


আমাদের পুরানো বন্ধু এনপিএপিআইকে বিদায় জানাচ্ছি

এনপিএপিআই-র 90-এর দশকের স্থাপত্যটি হ্যাং, ক্র্যাশ, সুরক্ষা ঘটনা এবং কোড জটিলতার একটি প্রধান কারণ হয়ে দাঁড়িয়েছে। এর কারণে, ক্রোম আসন্ন বছর ধরে এনপিএপিআই সমর্থনটি পর্যায়ক্রমে প্রকাশ করবে। আমরা অনুভব করি যে ওয়েব এই রূপান্তরটির জন্য প্রস্তুত। এনপিএপিআই মোবাইল ডিভাইসে সমর্থিত নয় এবং মজিলা ডিফল্টরূপে ফ্ল্যাশ ক্লিক-টু-প্লে-র বর্তমান সংস্করণ ব্যতীত সমস্ত প্লাগইনগুলি তৈরির পরিকল্পনা করেছে।

উত্স আমাদের পুরানো বন্ধু এনপিএপিআইকে বিদায় জানিয়েছে


47
জাভা ইনস্টলার নিজেই ক্র্যাপওয়্যারের জন্য একটি ভেক্টর। প্রতিদিনের জাভা সুরক্ষা আপডেটের জন্য আপনাকে অবশ্যই ইনস্টলারটির প্রতিটি পৃষ্ঠায় চিরুনি দেওয়া উচিত তা নিশ্চিত করার জন্য যে ওরাকল কিছু নতুন ম্যাকএফির ক্রপলেটতে বান্ডিল ছিল না।

2
@JS। হয়তো আমি কিছু অনুপস্থিত করছি তবে ব্যক্তিগতভাবে আমি করেছি কখনো জাভা ব্যতীত অন্য কিছু ইনস্টল করতে জাভা ইনস্টলার প্রস্তাব দেখা যায়। গুগল জাভা অক্ষম করার আসল কারণ? গুগল চায় না যে বিকাশকারীদের নিয়ন্ত্রণ রয়েছে তার চেয়ে অন্য কোনও কিছুর জন্য সফ্টওয়্যার লিখুন।
ম্যালকম

14
@ মালকম: আরেকবার দেখুন java.com আপনাকে কীভাবে স্পনসর অফারগুলি অক্ষম করবেন তা জানায়; অতএব, তারা স্পনসর অফারগুলিকে অন্তর্ভুক্ত করছে যা লোকেরা অক্ষম করতে চায়। java.com/en/download/faq/disable_offers.xml
রস প্রেসার

3
@ রোসপ্রেসার যদি আপনি ওরাকল থেকে ডাউনলোড করেন তবে স্পনসর অফার পাবেন না।
ডেভিডপস্টিল

7
২০১১-২০১৫ থেকে @ ম্যালকলমে ওরাকল থেকে সরকারী জাভা ইনস্টলারটি এতে অন্তর্ভুক্ত করেছে: java.com/ga/images/en/ask_offer.jpg
হাবস

4

হিসাবে Google দ্বারা ব্যাখ্যা , নেটস্কেপ প্লাগ-ইন এপিআই (NPAPI) ওয়েব ব্রাউজার প্রথম দিন প্রয়োজন ছিল তাদের বৈশিষ্ট্য প্রসারিত করতে। দুর্ভাগ্যক্রমে, এটি অন্তর্নিহিত মেশিনটিতে অ্যাক্সেস সরবরাহ করেছিল। সুতরাং, যদি প্লাগইনে কোনও দুর্বলতা থাকে এবং কোনও আক্রমণকারী এটি ব্যবহার করে তবে আক্রমণকারী ব্রাউজারটির স্যান্ডবক্সিংকে বাইপাস করে এবং মেশিনটিতে অ্যাক্সেস পায়।

এই ধরনের আক্রমণকারী ভেক্টরগুলি অতীতে মেশিনগুলিকে সংক্রামিত করার জন্য প্রচুর ব্যবহার করা হয়েছিল, এবং এই পরামর্শের দিকে পরিচালিত করে যে আপনার ব্রাউজারে জাভা অক্ষম করা উচিত। জাভা প্লাগইনগুলির সরবরাহিত অনেকগুলি বৈশিষ্ট্য এখন ব্রাউজার নিজেই (যেমন এইচটিএমএল 5) আরও ভাল পারফরম্যান্স এবং সুরক্ষা সহ বা একটি স্যান্ডবক্সে চালিত এক্সটেনশনগুলির সাথে অন্তর্ভুক্ত করেছে (যেমন এনএসিএল )। এজন্য জাভা প্লাগইনগুলিকে আর সমর্থন না করার সিদ্ধান্ত নেওয়া হয়েছে: উচ্চ ঝুঁকিপূর্ণ, তবে এর বাস্তব প্রয়োজন নেই need


2

অনেক দিন ধরে ওয়েবে ফ্ল্যাশ বা সিলভারলাইটের মতো অন্যান্য প্লাগইন সহ জাভা থেকে দূরে সরে গেছে। এইচটিএমএল 5 এর অন্যতম লক্ষ্য ছিল একটি ফ্রেমওয়ার্ক তৈরি করা যেখানে প্লাগইনগুলির প্রয়োজন হয় না (তাই ট্যাগগুলি পছন্দ করে <audio>এবং <video>)। এখনই জাভা সমর্থন করার একমাত্র কারণ হ'ল লিগ্যাসি সিস্টেমগুলির সাথে সামঞ্জস্যতা যা সম্ভবত এখনই অবসর নেওয়া উচিত ছিল।

তাহলে জাভার মতো প্লাগইনগুলি কেন সুরক্ষা হুমকী? কারণ ইতিহাস প্রমাণ করেছে যে সর্বদা নিরাপত্তা গর্তের অবিচ্ছিন্ন প্রবাহ থাকবে যাতে প্রচুর শোষণের সুযোগ হয়। জাভা স্ক্রিপ্টের মতো ব্যাখ্যামূলক স্ক্রিপ্ট ভাষা স্যান্ডবক্সের চেয়ে জাভা বাইটকোডে চালিত কোনও ভিএম সুরক্ষিত করা কেবল সহজাতভাবে শক্ত is শুধু এই পরিসংখ্যান একবার দেখুন ।

আপনি যেমনটি বলেছেন, আপনার প্লাগইনগুলি আপডেট রাখা ভাল অভ্যাস। তবে তা যথেষ্ট নয়। প্রথমত, অনেক লোক তা করে না। এটি সম্প্রতি প্রকাশিত হয়েছিল যে এমনকি এনএসএর সমতুল্য সুইডিশও জ্ঞাত সুরক্ষা দুর্বলতার সাথে পুরানো জাভা প্লাগইনগুলি চালাচ্ছে। যদি তারা এটি সঠিকভাবে পেতে না পারে, তবে আপনি কি গড় বাড়ির ব্যবহারকারী এটি করবেন বলে আশা করছেন? দ্বিতীয়ত, শূন্য দিন থেকে নিজেকে রক্ষা করার কোনও উপায় নেই। ওরাকল কত দ্রুত প্যাচ তৈরি করে তা বিবেচনা না করেই আপনি ঝুঁকিতে পড়বেন।

এমনকি ওরাকল স্বীকার করেছেন যে জাভা অ্যাপলেটগুলির যুগ শেষ হয়ে গেছে। থেকে আর্স টেকনিকা (জানু 2016):

বহু-ত্রুটিযুক্ত জাভা ব্রাউজার প্লাগইন, বছরের পর বছর ধরে এতগুলি নিরাপত্তা ত্রুটির উত্স, ওরাকলকে মেরে ফেলা উচিত। শোক হবে না।

২০১০ সালের সান মাইক্রোসিস্টেমগুলির ক্রয়ের অংশ হিসাবে জাভা অর্জনকারী ওরাকল ঘোষণা করেছেন যে প্লাগইনটি জাভা-র পরবর্তী সংস্করণে প্রকাশিত হবে version সংস্করণ, যা বর্তমানে প্রাথমিক পর্যায়ে অ্যাক্সেস বিটা হিসাবে উপলব্ধ। ভবিষ্যতের প্রকাশনা এটি পুরোপুরি সরিয়ে ফেলবে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.