Javaのブラウザプラグインが廃止に: HTML5の時代へ!

数日前、オラクル社がブログで、2017年第1四半期にリリース予定のJDKの新バージョンでJavaのブラウザプラグインを廃止することを発表しました。

これは何を意味しているのでしょうか? ブラウズの際に私たちも何か気を付けなければならないことがあるのでしょうか? これはただ、ブラウザでJavaアプレットを実行することができなくなるというだけのことです。この評判の悪い「アプレット」は、90年代にSun Microsystemsが開発した技術であり、これを後にオラクルが買収しました。

この技術はこの2年間、多くのエクスプロイトキットでまだ一般的に使われていましたが、昨年、突如転換が起こり、エクスプロイトキットはJavaのサポートを廃止し、Adobe Flashのエクスプロイトや、ブラウザに対する直接のエクスプロイトを好んで使用するようになりました。

つまり、平均的なユーザーにとっては、今回の突然の廃止の影響は最小限で済むでしょう。平均的なユーザーの大半は、Javaプラグインを実行するのに必要なAPIのサポートをすでにウェブブラウザのほとんどが廃止したことにすら気づかないかもしれません。

まだブラウザでJavaを実行する必要のあるビジネスユーザーに対しては、オラクルはJava Web Startのようなプラグインフリーのテクノロジーへ移行するよう推奨しています。ただし、既存のアプレットを切り替えるだけでなく、新たなポーティングが必要になります。

セキュリティの観点から、私たちは心から、この決断を歓迎します。以前にも言いましたが、このコンポーネントを標的とする攻撃は確かに減少しました。それでも、インターネット上に公に晒されているウェブブラウザの攻撃対象領域が減るのは良いことです。

実際、理想の世界なら、Javaを廃止する決断はもっと早く行われていたはずです。

今はHTML5が成熟したので、デベロッパーはJavaのようなサードパーティのプラグインを使うことなく、リッチなアプリケーションを提供することができます。この傾向に従えば、次に追い込まれるのはAdobe Flashであると考えて間違いないでしょう。こうしたサードパーティのAPIへの依存の減少は、これらをネイティブにサポートしていないスマートフォンの使用が増加したことと密接な関係があると言う人もおり、私もそれは正しいと思います。

疑い深い人のなかには、HTML5が真の実用的なユーザー体験を提供できるまでに十分成熟したかどうかを疑う人もいます。実際、HTML5単独では、こうしたプラグインに取って代わるのに十分ではありません。しかしCSS3やJavaScriptと一緒に使えば、ほんの数か月前にはできなかったことを、デベロッパーは提供できるようになったのです。私たちのウェブブラウザに埋め込まれているJavaScriptエンジンが強化されたおかげで、ウェブページはさらにダイナミックになり、かつてないほどに読み込みが速くなりました。そして今、私たちはウェブでアニメーションや動くcanvas、さらにモバイルの触覚フィードバックを体験することができます。

こうした新たなAPIはW3Cによって公開、配信されており、ウェブブラウザソフトウェアのプロバイダは、W3C勧告に基づいて新たな機能を開発することができます。これはつまり、プロバイダはこうした機能の実装を、エンドツーエンドでコントロールすることができるということです。脆弱性が見つかっても、数時間あるいは数日のうちにホットフィックスをプッシュすることができます。セキュリティの観点からすれば、面倒な手動でのアップデートの必要がなくなるため、エンドユーザーの安全性は高まります。

更新: 2016年2月11日

まだまだ多くのFlashエクスプロイトがエクスプロイトキットに埋め込まれています。こちらhttp://malware.dontneedcoffee.com/2016/01/cve-2015-8651.htmlにあるように、NeutrinoにCVE-2015-8651が見つかりました。私たちは、次に消えるのはFlashだと予測していましたが、思いのほか早く消えることになりそうですね。Googleは先日、2017年1月からFlash広告を禁止するという予定を発表しました。

https://plus.google.com/+GoogleAds/posts/dYSJRrrgNjk

Adobeはまだ切り替えの準備をしており、彼らの最近の行動を見ていると、HTML5を採用するようです。

-= FortiGuard Lion Team =-