В выпущенном на этой неделе Chrome 42 Google исправила более 40 уязвимостей. Но наиболее значительным изменением, касающимся безопасности в новом браузере, было решение Google отключить NPAPI, то есть фактически по умолчанию отключить такие плагины, как Java и Silverlight.

Это решение не пришло из ниоткуда. Google предупреждала об этом пользователей и разработчиков еще более года назад и постепенно изменяла способ, которым Chrome работает с некоторыми плагинами. Компания начала требовать от пользователей клик для запуска плагинов, полагающихся на NPAPI (древний API, разработанный для расширения функциональности браузеров). Он был первым реальным способом для разработчиков добавить функциональность браузерам, все еще развивающимся в то время. Но NPAPI не является необходимым в современном мире и создает проблем больше, чем решает.

«Современные браузеры быстрее, безопаснее и имеют больше возможностей, чем их предки. Между тем архитектура 90-х годов в NPAPI превратилась в основную причину зависаний, сбоев, инцидентов нарушения безопасности и усложнения кода. Из-за этого Chrome будет свертывать поддержку NPAPI в течение следующего года», — написал Джастин Шу (Justin Schuh) из Google в сентябре 2013 года.

Google избрал медленный подход к этому изменению, так как есть ряд популярных плагинов, использующих NPAPI, в первую очередь это Java и Silverlight, которые используются различными способами во всей Сети. Последний шаг был сделан на этой неделе, когда Google окончательно отключила NPAPI в Chrome 42.

«В апреле 2015 года (Chrome 42) поддержка NPAPI будет отключена по умолчанию в Chrome, и мы будем убирать расширения, требующие плагинов NPAPI, из Chrome Web Store. Все плагины NPAPI будут показываться как неустановленные, так как они не будут фигурировать в списке navigator.plugins и не будут инстанцированы (даже в качестве заглушки). Хотя разработчики плагинов проводят большую работу по переходу к альтернативным технологиям, малое число пользователей все еще полагается на плагины, которые еще не завершили переход, — сказали представители Google. — Мы обеспечим возможность временно включить NPAPI продвинутым пользователям (через chrome://flags/#enable-npapi) и корпорациям (через page action UI), пока они ожидают перехода критически важных для их работы плагинов. В дополнение установка любых корпоративных политик для плагинов (например, EnabledPlugins, PluginsAllowedForUrls) будет временно включать NPAPI».

Эти возможности будут убраны в этом году, в Chrome 45, когда Google окончательно устранит поддержку NPAPI из своего браузера.

Категории: Кибероборона