Oracle veut cesser de proposer des plug-in Java pour navigateurs, Réactions à la publication du 01/02/2016

[Lionel]

Ces dernières années Oracle a fait face à d'énormes problèmes de sécurisation de Java et en particulier ses plug-ins installés dans les navigateurs internet. Ils sont devenus un vecteur particulièrement efficaces d'attaques des ordinateurs, ce qui a pourri (à raison) la réputation de la société.
D'ailleurs depuis septembre dernier, Google a supprimé le support de Java dans Chrome et Mozilla devrait bientôt faire de même avec Firefox.
Seuls Apple avec Safari et Microsoft avec Explorer n'ont pas encore franchi le pas, mais cela finira par venir.
Oracle va donc, en prenant compte la nouvelle donne, cesser de proposer des plug-ins pour les navigateurs. La société va à la place inciter les développeurs à passer à des Web-app développées en Java et moins vulnérables car spécifiques à certains sites.

C'est une bonne nouvelle pour la sécurité globale, moins pour les millions d'équipements nécessitant Java pour être gérés et qui ne seront probablement pas mis à jour, les rendant obsolètes. Ce sera tout particulièrement le cas de millions de Webcam incapables de se passer de Java.

Lien vers le billet original

[fuby]

l'avantage des clients java dans les navigateurs c'était de proposer des interfaces un peu mieux, il y a 10 ans, mais c'était lourd pour les clients ...
maintenant avec le HTML5, il est possible de faire de meme, et meme d'avoir les fonctions multimedias simplement !.

clairement, tout les équipements d'il y a 10 ans, avec encore des clients JAVA, seront des problèmes, car on ne pourra pas les mettre a jour sans que le vendeur fasse lui meme le firmware pour ! et ca, c'est pas pret d'arriver lorsque l'on voit que pour un telephone, la garantie est difficilement de 2 ans, donc presque 4 ans maximum dans l'ensemble pour le faire reparer !

remarque : il est simplement possible de mettre a jour tout ces équipements "léger", car il ne s'agit que de fournir la partie navigateur en version HTML5 au lieu de d'voir une applet java spécifique.

[El Bacho]

Et, pendant ce temps, Adobe a clairement indiqué aux développeurs que les jours de Flash étaient comptés et qu'il serait bon pour eux de basculer vers le HTML5.
Quand on pense qu'il y a quelques années tout juste, Flash Player allait être (quand il serait disponible en version vraiment finalisée) un atout majeur pour Android face à iOS...

[Nicnl]

Bien qu'étant absolument d'accord sur le fait que Java soit un véritable gruyère niveau sécurité, supprimer son support des navigateurs est à mes yeux une grave erreur.
Je dis ça parce qu'à mon boulot, on se sert d'un client VPN / contrôle à distance Juniper basé sur le plugin java pour navigateur qu'un client utilise.
On ne peux donc pas forcer nos clients à se mettre à jour et il n'acceptent pas d'autres solutions.

On fais quoi ? Le client est roi.

Pour l'instant on à du galérer à activer le plugin java dans IE et ça passe.
Mais que vas-t-on faire une fois le support supprimé ?
Il n'y à pas des masses de choix : downgrader IE tant que c'est possible et avoir une sécurité 100 fois pire que ce qu'on avais avant.
Mais une fois que Microsoft forcera l'installation du dernier IE, on fais quoi nous ?
Raison supplémentaire sur la longue liste pour ma boîte de ne pas updater les machines.

Malgré la bonne volonté du départ, ça n'aide vraiment pas.

Ce message a été modifié par Nicnl - 1 Feb 2016, 07:37.

[Albook]

Et bien, malgré les problèmes de sécurité, je voudrais bien utiliser Java, j'ai téléchargé la dernière version mais avec El capitan impossible d'activer Java dans les Préférences Système, j'ai beau cocher la petite case "Ativer le contenu Java dans le navigateur" Appliquer et Valider avec mon mot de passe, cette petite case se décoche systématiquement

[WipeOut]

Merde la NSA va perdre le contrôle sur les Webcams...

[Shyheim]

Bien qu'étant absolument d'accord sur le fait que Java soit un véritable gruyère niveau sécurité, supprimer son support des navigateurs est à mes yeux une grave erreur.
Je dis ça parce qu'à mon boulot, on se sert d'un client VPN / contrôle à distance Juniper basé sur le plugin java pour navigateur qu'un client utilise.
On ne peux donc pas forcer nos clients à se mettre à jour et il n'acceptent pas d'autres solutions.

On fais quoi ? Le client est roi.

Pour l'instant on à du galérer à activer le plugin java dans IE et ça passe.
Mais que vas-t-on faire une fois le support supprimé ?
Il n'y à pas des masses de choix : downgrader IE tant que c'est possible et avoir une sécurité 100 fois pire que ce qu'on avais avant.
Mais une fois que Microsoft forcera l'installation du dernier IE, on fais quoi nous ?
Raison supplémentaire sur la longue liste pour ma boîte de ne pas updater les machines.

Malgré la bonne volonté du départ, ça n'aide vraiment pas.

Pourquoi ne pas simplement installer leurs client VPN Pulse Secure au lieu d'utiliser le plugin java. On a fini par faire ça au boulot, et ça marche très bien

[Chicken Mayo]

Bien qu'étant absolument d'accord sur le fait que Java soit un véritable gruyère niveau sécurité, supprimer son support des navigateurs est à mes yeux une grave erreur.

Je ne suis pas du tout d'accord.
Oracle à fait de gros progrès coté sécurité, et je n'ai pas souvenir de grosse faille java récente.

La plupart des problèmes de sécurité que nous avons eu en 2013/2014 touchaient le plugin Java (et pas Java lui même, nuance)
Il ne faut pas confondre Java et le plugin Java des navigateurs
Java est toujours tres utilisé pour developper des application serveur.
Pour les applications clients, Oracle conseille depuis quelques temps aux développeurs de ne plus faire d'applets (une application java qui tourne dans un navigateur grace au plugin java) mais des application webstart (une application java lancée depuis le web, via un lien par exemple, mais qui ne tourne pas dans un navigateur)

L'abandon de Java dans Chrome (et dans Firefox 64 bits) est la consequence de l'abandon du support des plugins NPAPI (une vieille techno datant de Netscape) et n'est pas le fruit de la volonté de Google ou Mozilla d'abandonner Java.
Si Oracle sortait un plugin java PPAPI (la nouvelle techno) alors Java pourrait continuer à tourner dans ces navigateurs.

Oracle abandonne clairement (mais jusqu'ici sans le dire ouvertement) la techno des applets, ce qui pose de sérieux soucis pour toutes les applets "legacy" qui ont besoin de java pour tourner.

L'article de Lionel ne cite pas de source, mais voilà le billet d'Oracle dans leur blog qui annonce la fin des applets pour Java 9:
https://blogs.oracle.com/java-platform-grou...o_a_plugin_free


Ce message a été modifié par Chicken Mayo - 1 Feb 2016, 11:32.

[Som]

Oracle veut cesser…

Oracle va cesser...

[DefKing]

Quand je pense que hors Java, pas de site d'Archive départementale !

[Fafnir]

N'est ce pas tous les butineurs qui seront sans module d'extension (add on) désormais?

[El Bacho]

N'est ce pas tous les butineurs qui seront sans module d'extension (add on) désormais?

C'est effectivement la tendance. Mais il s'agit d'arrêter les plug-ins et pas les extensions pour chaque navigateur, qui sont désormais plus étroitement contrôlées et certifiées

Chicken Mayo n'a pas tout à fait raison concernant PPAPI. Il a plus ou moins été conçu sur mesure par Google pour permettre à Flash de rester compatible avec Chrome, mais il n'y a pas vraiment de développement actif d'autres plug-in à ce standard. Silverlight et d'autres ont déjà annoncé leur intention de tirer leur révérence, alors qu'il y a de moins en moins de browsers qui acceptent les plug-in NPAPI. Mozilla entend supprimer le NPAPI d'ici la fin de l'année, sans avoir rien prévu pour le PPAPI, Microsoft ne le mettra même pas dans Edge, il n'y a presque qu'Apple qui n'a pas annoncé ses intentions pour son support.

[kiteman]

A ceux qui pensent que Java a des problèmes de sécurité, allez donc lire cet article de Google himself sur les problèmes de sécurité engendrés par le HTML/AJAX qui est censé être plus sécurisé que Java, histoire de relativiser.

http://www.gwtproject.org/articles/securit...plications.html

Ce qui est obsolète c'est l'interface de plugins utilisée pour supporter Java (et Flash) car elle commence à dater.

[tenets]

Après un clean install, je n'ai plus ni java ni flash.
J'ai parfois des fenêtres noires sur certains sites, mais rien de grave pour moi.
Par contre j'ai javascript, que je considérais comme bien utile et moins dangereux.
Mais on arrête pas le "progrès" :

https://www.developpez.com/actu/118213/Une-...ectures-de-CPU/


Citation :
Monsieur toulemonde : "on progresse bien dans la recherche sur le cancer"
Un "humoriste" ? : "et si c'était le progrès qui provoquait le cancer ?".

[No6]

A ceux qui pensent que Java a des problèmes de sécurité, allez donc lire cet article de Google himself sur les problèmes de sécurité engendrés par le HTML/AJAX qui est censé être plus sécurisé que Java, histoire de relativiser.
http://www.gwtproject.org/articles/securit...plications.html

??, la tu confond programmation suicidaire et failles de sécurité liées à une technologie..
Si les codeurs d'un site font mal leur boulot en ouvrant des portes permettant des intrusions, alors ce sont eux qu'il faut mettre en cause, pas le langage ou l'implémentation qu'ils utilisent.

On à la même chose avec l'utilisation de requêtes SQL, qui peuvent tout aussi bien être en faites en PHP, en Perl, en C, en Java aussi et de centaines d'autres langages, sur l'ensemble des serveur SQL, quels qu'ils soient d' Oracle et DB2 en passant par Ingres et Teradata jusqu’à MySQL.
https://fr.wikipedia.org/wiki/Injection_SQL

Par contre j'ai javascript, que je considérais comme bien utile et moins dangereux.
Mais on arrête pas le "progrès" :

https://www.developpez.com/actu/118213/Une-...ectures-de-CPU/

Heu, t'a bien lu l'article de ton lien ?
Il dit juste que les pirates on utilisé le langage Javascript pour faire leur attaque [sur les failles d'une micro-architecture de processeur]

Et les microprocesseurs n'utilisent pas le langage JavaScript...

La faille elle est dans l'architecture des Microproceurs, pas dans langage utilisé, d'ailleurs s'ils avaient voulu, ils aurait pu choisir de le faire en Java, par exemple...
Ou encore ce type de faille aurait pu être fait par un virus écrit en C et injecté via une clé USB.
Bref le pb de sécurité n'a rien à voir avec JavaScript. si ce n'est que c'est peut être une première que les pirates utilisent ainsi ce langage ( et dire qu'il y en a encore qui croient qu'on ne peut pas tout faire avec ce langage... )


D'ailleurs je pense qu'on aurait du mieux sécuriser la fabrication du plastique, parce qu’après les sifflets des boites de capt'ain Crunch permettait de hacker les services téléphoniques ( https://fr.wikipedia.org/wiki/John_Draper )

Bonjours chez vous



Ce message a été modifié par No6 - 26 Feb 2017, 16:46.

[tenets]

Par contre j'ai javascript, que je considérais comme bien utile et moins dangereux.
Mais on arrête pas le "progrès" :

Heu, t'a bien lu l'article de ton lien ?
Il dit juste que les pirates on utilisé le langage Javascript pour faire leur attaque [sur les failles d'une micro-architecture de processeur]

Et les microprocesseurs n'utilisent pas le langage JavaScript... :rolleyes:
-----------------------------------------------------------------------------------------------------------------

Merci pour ces précisions.
Ce qui peut quand même prêter à confusion (pour moi du moins), c'est le conseil d'utiliser NOSCRIPT.
Kenavo

[No6]

Merci pour ces précisions.
Ce qui peut quand même prêter à confusion (pour moi du moins), c'est le conseil d'utiliser NOSCRIPT.
Kenavo

Difficile aujourd'hui de ce passer de Javascript pour naviguer, il est indispenssable.
Mettre ton navigateur en NoScript t’empêchera de visualiser beaucoup de sites, et c'est pas forcément la meilleure solution.

Comme beaucoup d'autres avant moi l'on fait remarquer, la principale fragilité des systèmes informatiques se situe entre le clavier et la chaise.