viernes, 29 de enero de 2016

Oracle anuncia el final del plugin de Java ¡Por fin!

Una noticia que llevábamos tiempo esperando: Oracle ha anunciado que el plugin de Java desaparecerá de la próxima versión del JDK y JRE (versión 9). 
 
Oracle adquirió Java en 2010 como parte de la compra de Sun Microsystems. Aunque la fama de ser uno de los vectores de ataque para la instalación de malware y realización de intrusiones viene ya de antiguo.

Durante un buen tiempo Java fue la auténtica bestia negra para la seguridad de los usuarios, la aparición de nuevos 0-days, vulnerabilidades, etc. era tan frecuente como en la actualidad estamos viendo en Flash. Cabe señalar que el último 0-day para Java es de julio del año pasado, después de más dos años sin ningún anuncio de una vulnerabilidad de este tipo.

Pero tal y como la propia Oracle confirma la razón detrás de este movimiento reside en que los propios desarrolladores de navegadores han decidido dejar de lado la posibilidad de incrustar Flash, Silverlight, Java y otras tecnologías basadas en plugins.

Con los principales navegadores (Internet Explorer, Edge, Chrome y Firefox) restringiendo y reduciendo el soporte de plugins en sus productos no tiene mucho sentido seguir insistiendo en nuevas versiones del plugin de Java. Un producto que requiere de terceros para funcionar, pero esos otros no le dejan funcionar. Oracle, por su parte, recomienda a los desarrolladores que consideren opciones alternativas como migrar los applets de Java a la tecnología Java Web Start.

Hay que destacar que en realidad esta noticia significa el final de los applets de Java. Una tecnología que se popularizo a mediados de los 90, que se terminó por convertir en un peligro para los navegadores y que durante mucho tiempo significó la principal puerta de entrada de malware en los sistemas. No podemos olvidar que Java es un lenguaje, una librería o conjunto de librerías y una plataforma en la que poder compilar y ejecutar código en una maquina virtual, lo que conforman los tres pilares fundamentales de Java.

El final del plugin de Java tiene fecha anunciada, el 22 de septiembre de 2016, cuando se publicará el JDK 9. Sin embargo seguro que aun seguiremos viéndolo durante mucho tiempo en los ordenadores y sistemas más antiguos. 


Más información:

Moving to a Plugin-Free Web
https://blogs.oracle.com/java-platform-group/entry/moving_to_a_plugin_free

una-al-dia (07/02/2000) Importante agujero en la Máquina Virtual Java de Microsoft
http://unaaldia.hispasec.com/2000/02/importante-agujero-en-la-maquina.html

Migrating from Java Applets to plugin-free Java technologies
http://www.oracle.com/technetwork/java/javase/migratingfromapplets-2872444.pdf

Java 9 Schedule
https://blogs.oracle.com/java/entry/java_9_schedule_is_out

una-al-dia (15/07/2015) Nuevo 0day en Java
http://unaaldia.hispasec.com/2015/07/nuevo-0day-en-java.html

                                                                                                  
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero



Etiquetas: , , , , ,

3 comentarios:

  1. Koke Laast31 de enero de 2016 a las 11:40

    Pues será una buena noticia para vosotros. Con todas las webs que dependen de este plugin para firmar documentos y los navegadores que no se ponen de acuerdo para incluir la firma de documentos en la API estándar de JavaScript tenemos un problema importante a la vista.

    ResponderEliminar
  2. SuperPiski1 de febrero de 2016 a las 8:48

    La noticia se podría haber titulado "Oracle termina de matar a Java". El dichoso plug-in es (era) la única forma viable de realizar tareas como la firma digital. Chrome ya lo eliminó, por lo que aplicaciones web (cientos de ellas) que realizan la firma digital en java se vieron forzadas a utilizar si o si Internet Explorer o Firefox. Ahora la pregunta es ¿Cómo se va a realizar esta tarea en el navegador? Hay que tener en cuenta que el consorcio trabaja muy despacio y la especificación de Crypto Api (https://www.w3.org/TR/WebCryptoAPI/) para navegador no deja de ser a día de hoy una "candidata". Además, la especificación es laxa, solo sirve para hacer "hola mundo" ya que algo tan básico como tomar las credenciales del navegador (el certificado de usuario a utilizar) no está bien definido. Si nos vamos a tareas de firma digital de documentos XML entonces te puedes morir. Java script no canoniza documentos por lo que toca currarse la librería "a mano".
    Dejando de un lado la firma digital, en mi compañía disponemos de una serie de formularios sobre los cuales java crea documentos xml (firmados) y los envía a nuestros servidores mediante servicios web... sin comunicación alguna entre el navegador y java...a ver como implementamos esto ahora.

    En definitiva, serán miles las webs que dejarán de funcionar sin tener a día de hoy una alternativa cross-browser utilizable: La web de la policía, la web de la agencia de protección de datos, etc., etc.,...

    ResponderEliminar
  3. Damian16 de agosto de 2016 a las 10:05

    SuperPiski, ¿Y la tecnología Java Web Start no permitirá las operaciones de firma digital?

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017