Unternehmen mit Web-Java-Anwendungen steht Ärger ins Haus

Oracle will Java-Plugins in Rente schicken

01.02.2016
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Oracle will endlich das Sicherheitsrisiko Java-Plugin in Rente schicken. Für Unternehmen, die damals den Hype zu Web-basierten Java-Anwendungen folgten, könnte das teuer werden.
Oracle will die Java-Plugins in die Rente schicken.
Oracle will die Java-Plugins in die Rente schicken.
Foto: 360b/Shutterstock.com

Oracle will das Java-Browser-Plugin, häufig das Ziel von webbasierten Exploits, in rund einem Jahr in Rente schicken. "Oracle plant das Java-Browser-Plugin im JDK 9 nicht weiter zu unterstützen", war in einem Post der Java-Plattform-Gruppe zu lesen. Weiter hieß es dort, "diese Technik wird aus dem Oracle JDK und JRE in künftigen Java-SE-Version entfernt."

Das Java Development Kit (JDK) 9 ist die Referenzimplementierung für die nächste Version von Java SE. Mit seiner Verfügbarkeit wird im März 2017 gerechnet. Ab diesem Zeitpunkt werden die meisten modernen Browser Java-Browser-Plugins nicht mehr akzeptieren.

Mozilla hatte bereits im Oktober angekündigt, dass man die Unterstützung für Plugins in Firefox bis Ende 2016 streiche. Bereits im September wurde in Chrome der Support für Plugins wie Java und Silverlight, die den alten Netscape-Plugin-Application-Programming-Interface-(NPAPI-)Standard verwenden, entfernt. Microsofts Edge Browser unterstützt Plug-Ins grundsätzlich nicht.

Damit sind Internet Explorer und Safari die einzigen Browser, die 2016 noch traditionelle NPAPI-Plugins unterstützen. Diese geringe Zahl könnte Oracle auch dazu bewogen haben, die Plugins einzustellen. Allerdings hätte es eine Alternative gegeben. So unterstützt etwa Chrome eine neue Plugin-Technologie namens PPAPI (Pepper-Plugin-API).

"Oracle hat nicht vor, browserspezifische Plugins anzubieten, da solche Plugins zur Folge hätten, dass Anwendungsentwickler browserspezifische Applets für jeden Browser, den sie unterstützen möchten, schreiben müssten", bezieht das Unternehmen in einem Weißbuch, das Migrationsoptionen für Entwickler skizziert, Stellung. Ein Cross-Browser-API - wie von einigen gefordert - stellt laut Oracle auch keine Lösung dar. Hier könne man nämlich nur einen Teil der geforderten Funktionalität anbieten, die sich zudem noch von Browser zu Browser unterscheiden. Darunter würden dann letztlich sowohl Anwender als auch Entwickler leiden.

Eine Alternative, mit der Oracle liebäugelt, ist die Verwendung von Java Web Start Applications anstelle von Java Applets. Diese Art von Anwendungen kann direkt aus dem Web gestartet werden, ohne dass ein Browser-Plugin erforderlich ist. Unter Sicherheitsaspekten stellen die Java Web Start Applications keine Verbesserung dar. Sie können wie Applets dazu genutzt werden, Schwachstellen in der Java-Laufzeit-Umgebung zu entdecken.

Selbst wenn Oracle das Java-Plugin in den Ruhestand schickt, ist damit zu rechnen, dass es auf vielen Computern installiert bleibt. Das dürfte auch in Business-Umgebungen der Fall sein, denn viele Unternehmensanwendungen sind Web-basierte Java-Anwendungen und können nicht einfach ersetzt oder neu geschrieben werden.