В следующем году Google и Mozilla откажутся от поддержки большинства существующих плагинов Вендоры считают, что все браузерные дополнения, разработанные на базе устаревшей архитектуры, небезопасны и должны быть заменены более современными решениями. Эксперты компания Google и Mozilla пришли к выводу, что большинство плагинов, используемых в браузерах на сегодняшний день, разработаны на базе устаревшей архитектуры NPAPI (Netscape Plug-in Application Programming Interface), созданной еще в 90-х годах прошлого века, небезопасны. Так, устаревшие решения содержат множество уязвимостей, которые активно используют хакеры для внедрения в компьютерные системы вредоносных кодов и похищения важной информации. По словам Джастина Шу (Justin Schuh), инженера по безопасности Google Chrome, вендор прекратит поддержку устаревшей архитектуры в своем браузере со следующего года: «NPAPI - это архитектура 90х годов, она уже неактуальна. Она провоцирует зависания браузеров, обрушение их работы, а также многочисленные инциденты безопасности». Так, NPAPI была разработана сегодня уже несуществующей компанией Netscape и стала базой для браузерных расширений, используясь в таких решениях, как Mozilla Firefox, Google Chrome, Apple Safari, Opera и Konqueror. Однако по современным меркам у NPAPI есть ряд фундаментальных проблем и недочетов, главной из которых является то, что NPAPI для своей работы требует прямого доступа к ресурсам операционной системы, минуя ресурсы браузера. Еще 3 года назад специалисты Google начали поднимать вопрос об использовании устаревшего и небезопасного продукта и выпустили собственную похожую платформу PPAPI (Pepper Plugin API), которая работала внутри "песочницы" браузера и не имела доступа к низкоуровневым ресурсам операционной системы. В результате этого, хакеры даже при взломе Pepper упирались в браузерный уровень, а кроме того, зависание Pepper не приводило к краху браузера и тем более всей операционной системы. Теперь интернет-компания предлагает разработчикам временное решение – основные важные плагины, такие как Java или QuickTime, будут внесены в белый список и не будут блокироваться, пока не будут созданы их версии на архитектуре PPAPI. Ожидается, что полная поддержка расширений прекратиться в следующем году. В то же время эксперты Mozilla, которые также сообщили о прекращении поддержки устаревшей архитектуры, не намерены переходить на решение Google, а заявили о продвижении общедоступных стандартов HTML5, таких как WebGL, WebSockets, WebRTC, asm.js и другие. Источник: http://www.securitylab.ru/news/445264.php |