O plugin do Java para navegadores vai ser descontinuado. Ainda bem!
Em um comunicado curto, mas surpreendente, a Oracle anunciou nesta semana uma decisão que muitos administradores de sistemas e especialistas em segurança esperavam ouvir há tempos: o plugin do Java para navegadores vai, finalmente, ser descontinuado. Essa é mesmo uma notícia a ser comemorada.
O Java como linguagem de programação e plataforma surgiu em 1995 pelas mãos da Sun Microsystems, companhia que foi absorvida pela Oracle em 2009. Foi um movimento bastante importante: o Java trouxe avanços tão relevantes que logo se tornou uma das tecnologias preferidas para o desenvolvimento de aplicações dos mais diversos tipos e portes.
É nesse contexto que se encaixa o plugin do Java. Bancos, órgãos públicos, instituições de ensino, plataformas de jogos e empresas dos mais variados ramos de atividade passaram a usá-lo para viabilizar serviços online que podem ser executados em uma variedade de plataformas.
Tamanha popularidade teve um efeito colateral: com o passar do tempo, o plugin entrou na mira de pessoas “bem-intencionadas”, aquelas que exploram vulnerabilidades, sabe? Além disso, as constantes atualizações fizeram com que o desempenho do software, que nunca foi lá essas coisas, piorasse progressivamente.
Mas é mesmo a questão da segurança que minou a imagem do plugin do Java. Uma série de fatores contribuiu para isso. Para começar, a Oracle nunca foi de disponibilizar correções rapidamente, embora tenha feito progresso considerável nesse aspecto nos últimos dois anos.
Além disso, as atualizações fizeram com que o plugin se tornasse um software cheio de “remendos”. Ironicamente, isso favorece o surgimento de mais vulnerabilidades. O problema se tornou ainda mais preocupante a partir de 2010, quando ataques envolvendo o plugin aumentaram assombrosamente.
Outro ponto importante: mesmo quando há atualizações, muita gente deixa de instalá-las. Uma solução seria um modo de update automático que funcionasse em segundo plano, sem intervenção do usuário, mas há vários entraves nessa proposta. A principal é o risco de uma atualização automática simplesmente paralisar uma aplicação por não ter sido testada nela antes.
Eis a consequência: o plugin do Java virou um pesadelo para usuários e, principalmente, para profissionais de segurança que têm que “desarmar a bomba”. A situação chegou a um ponto tão crítico que a recomendação passou a ser esta: se você não usa nenhum serviço que depende do plugin, simplesmente não o instale. Entre os que precisam do plugin e sabem dos riscos, há quem prefira executar a aplicação em máquinas virtuais.
Para nós, meros mortais, há outra inconveniência: toda vez que o Java é instalado ou atualizado, temos que tomar cuidado para não deixar marcada a caixinha que instala junto uma barra de buscas nos navegadores. Tem coisa mais irritante?
Chega uma hora que não dá mais para empurrar a situação com a barriga. Assim como o Flash, o plugin do Java se tornou um problema crônico de segurança, levando organizações como Google e Mozilla a tomarem medidas radicais: no ano passado, a primeira decidiu desativar plugins do tipo NPAPI (é o caso do Java) no Chrome; meses depois, a segunda anunciou a mesma medida em relação ao Firefox. O Edge, da Microsoft, nem veio com suporte ao plugin do Java.
Quando gigantes do setor adotam medidas como essa, o mercado entende que é hora de mudar de tecnologia. A decisão da Oracle é reflexo disso.
Só que essa mudança não vai acontecer de uma hora para outra. Para dar tempo para o mercado se adaptar completamente, o plugin só será descontinuado com o lançamento da versão 9 do Java Development Kit, cuja versão final está prevista para 23 de março de 2017. No lugar, a Oracle sugere o uso de tecnologias como Java Web Start (há instruções sobre isso neste PDF).
Como se vê, o plugin tem vários meses de vida pela frente. É tempo suficiente para que migrações sejam feitas em bancos e instituições públicas, por exemplo — aparentemente, as organizações que mais utilizam o plugin do Java, pelo menos no Brasil.
Vale frisar que a morte do plugin não significa o fim do Java como um todo. O ecossistema da linguagem continua sendo promovido e suportado pela Oracle. Será assim por um longo tempo.
Leia | O que é um plugin?