从明年年初开始,基于NPAPI架构的插件将在Chrome中默认被屏蔽,因为谷歌将在浏览器中完全取消对这些插件的支持。
“NPAPI 90年代的架构已经成为导致挂起、崩溃、安全事件和代码复杂性的主要原因,”Justin Schuh,一位谷歌Chrome安全工程师,周一在a博客。“正因为如此,Chrome将在明年逐步取消对NPAPI的支持。”
NPAPI (Netscape插件应用程序编程接口)最初是为Netscape开发的,长期以来一直是最流行的插件架构,受到Mozilla Firefox、谷歌Chrome、Apple Safari、Opera和Konqueror等浏览器的支持。
然而,NPAPI的安全缺陷,比如它产生了对底层操作系统有特权访问的进程,导致近年来攻击激增。这些攻击利用浏览器插件的漏洞,在用户访问受危害或恶意网站时,悄无声地在电脑上安装恶意软件。针对这种威胁,谷歌、Mozilla和Opera实现了点击播放功能,这是一种可选功能,在执行基于插件的内容之前提示用户进行确认。
谷歌走得更远,在2010年,该公司开始开发一种名为PPAPI (Pepper Plugin API)或简称Pepper的新插件架构,该架构强制插件代码在沙箱中安全运行,降低了崩溃的风险。
2012年8月,经过与Adobe两年的合作,谷歌将Windows Chrome附带的Flash Player插件从NPAPI转换为PPAPI。一个月后,它对Mac OS X上的Chrome做了同样的事情。
尽管click-to-play Chrome中可用好几年了,没有默认启用的特性,除了大量的插件,谷歌认为存在安全风险更高,像Java, RealPlayer, QuickTime,冲击波,Windows媒体播放器和Adobe Reader阅读器前十政策将很快改变。
Schuh说:“从2014年1月开始,Chrome将默认在稳定通道上屏蔽网页实例化的NPAPI插件。”他说,为了避免对用户造成干扰,目前还没有被屏蔽的最受欢迎的NPAPI插件将暂时例外。
暂列入白名单的插件包括Silverlight、Unity、谷歌Earth、谷歌Talk和Facebook Video,因为在过去的一个月中,超过5%的用户使用了这些插件。大约有9%的用户使用Java,但它已经在被阻止的插件列表中。
“在短期内,终端用户和企业管理员将能够白名单特定插件,”Schuh说。“最终,NPAPI支持将从Chrome中完全移除。”
这预计将在2014年底之前完成,但逐步取消NPAPI支持的过程已经开始。从周一开始,Chrome网络商店(Chrome应用程序和扩展的中央存储库)将不再接受新的基于npapi的应用程序或扩展。
Schuh说:“开发者将能够更新他们现有的基于npapi的应用程序和扩展,直到2014年5月,那时它们将从网络商店的主页、搜索结果和分类页面中删除。”2014年9月,所有现有的基于npapi的应用程序和扩展都将停止发布。现有的安装将继续工作,直到Chrome完全取消对NPAPI的支持。”
Schuh还指出,Mozilla计划在2013年12月Firefox 26发布时默认屏蔽NPAPI插件。
Mozilla已经屏蔽了一些会带来安全风险的过时插件,并在1月份宣布,一旦用户点击播放界面的工作完成,将屏蔽除最新版本Flash Player之外的所有插件。Firefox的点击播放功能还处于beta测试阶段,目前只能通过浏览器的高级about:config选项来启用。
目前还不清楚Mozilla是否计划在未来完全取消Firefox对NPAPI插件的支持。一名代表未能立即澄清情况。