Fotolia

F

Was bedeutet die Abkündigung des Java-Browser-Plug-in für Unternehmen?

Aufgrund der Sicherheitsprobleme wird Oracle das Java-Brower-Plug-in nicht weiterführen. Hier einige Punkte, die Unternehmen beachten sollten.

Oracle hat angekündigt, das mit der nächsten Version des Java Development Kit (JDK), das Java-Browser-Plug-in den Status „veraltet“ (deprecated) erhalten wird. Grund hierfür seien die Sicherheitsrisiken, die mit dem Plug-in verbunden sind. Das ist natürlich aus Sicherheitsaspekten ein begrüßenswerter Schritt, hat jedoch Auswirkungen auf die Java-basierten Anwendungen, die in vielen Unternehmen im Einsatz sind.

Das Java-Plug-in ist längst ein Problem für Administratoren. Obwohl es als äußert beliebter Angriffsvektor zur Verbreitung von Malware oder anderen Attacken zum Einsatz kommt, haben viele Firmen Java-basierte Anwendungen im Einsatz, für die Admins Support bieten müssen. Auch wenn sich die Situation etwas verbessert hat und andere Plug-ins im Fokus stehen: nach wie vor zielen viele Angriffe auf Java, so etwa der Trustwave Global Security Report (PDF). So gilt es häufig, Sicherheitslücken zeitnah mit Patches zu schließen, um sich gegen entsprechende Angriff zu wappnen.

Wie eingangs erwähnt, wird das Java-Browser-Plug-in mit dem Erscheinen vom Java Development Kit 9 den Status „veraltet“ (deprecated) erhalten. Die Veröffentlichung vom JDK 9 ist nach derzeitigem Stand für 2017 avisiert. Aus den folgenden Versionen des JDK und des Java Runtime Environment (JRE) soll das Plug-in dann ganz entfernt werden. Präziser wird Oracle an dieser Stelle nicht.

Plug-ins wie Java oder Flash waren einst angetreten, um die beschränkten Möglichkeiten der Browser zu erweitern. Inzwischen ist die Situation in Sachen Sicherheit bei diesen Plug-ins aber alles andere als befriedigend. Entsprechend fahren die Browser-Anbieter wie Apple, Google, Mozilla oder Microsoft ihre Unterstützung für derlei Plug-ins zurück. Zudem versucht man Entwickler dazu zu bewegen, HTML5 oder JavaScript zu verwenden.

Migration und Alternativen

Diese Entwicklung und die vermehrte Nutzung mobiler Endgeräte, deren Browser üblicherweise keine Plug-ins unterstützen, sollte Unternehmen veranlassen, den Einsatz entsprechender Anwendungen zu überdenken. Ein Möglichkeit ist eine Migration von Java Applets hin zur Java-Web-Start-Technologie. Diese ist im Java Platfom Standard Edition 7 JDK enthalten und gilt als etwas sicherer, was die Nutzung von Java-Anwendungen betrifft. Dies ist unter anderem mit der Aktualität der Plattform begründet, ein Hauptgrund für die Angriffsfläche der Java-Browser-Plug-ins ist oftmals die Nutzung veralteter Versionen. Von Oracle steht ein Whitepaper (PDF) zur Verfügung, das sich mit der Migration von Java Applets zur Java-Web-Start-Technologie beschäftigt.

Natürlich gibt es Alternativen für Applets, die sich nicht in eine Java-Web-Start-Anwendung konvertieren lassen. Oracle nennt diese in besagtem Whitepaper, dazu gehören beispielsweise native Windows/OS X/Linux-Installationsprogramme, die keine separate JRE-Anwendung benötigen. Ebenso führt Oracle JavaFX Webview an; hier gibt es die Möglichkeit, HTML5 zu rendern. Dabei wird eine WebKit Rendering Engine gekapselt. Dies erlaubt es den Browsern, HTML5-Inhalte in einer JavaFX-Anwendung zu verwenden. Apropos HTML5, auch diese Technologie an sich werden Unternehmen wohl für den ein oder anderen Fall einer näheren Betrachtung unterziehen. Für welche Option sich Unternehmen auch entscheiden, die Entwickler sollten darauf geschult werden, die Sicherheitsaspekte bei der Entwicklung und Verteilung der neuen Anwendungen von Anfang an zur berücksichtigen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close