Oracleは2017年に予定されているJDK 9リリースに合わせて,Javaブラウザプラグインを非推奨(deprecate)にすると発表した。最終的にはOracleのJDK(Java Development Kit)とJRE(Java Runtime Environment)から完全に削除される予定だが,それがどのリリースになるかのは,まだ明らかではない。
クライアント側のJavaサポートを今後も必要とする企業に対して同社は,アプレットの代替策としてJava Web Startを提案すると同時に,マイグレーションに関するホワイトペーパを公開している。
多くのエンドユーザにとって,プラグインが惜しまれる存在でないことは間違いない。プラグインに起因する多数のセキュリティ問題は言うに及ばず,Sun Microsystemsが2005年に開始したプラクティスとして,インストーラにはさまざまな“フォイストウェア(foistware, ユーザが意図せずにインストールされるソフトウェア)”があった。GoogleツールバーやMicrosoft MSNツールバー,McAfeeセキュリティ,Yahooツールバー,そして最も悪名高いAskツールバーなどは,すべてJavaにバンドルされたものだ。
特にAskは,アップデートをインストールする度にオプトアウトしなくてはならないことからインストール回避が難しく,毎回のようにセキュリティ問題を引き起こしてきた。その不評を証明するものとして,Joshua Bloch氏など業界の重鎮を含む21,000人の署名を集めたアンバンドル嘆願書がOracleに提出されている。Oracleは2014年6月に,サードパーティのバンドルソフトウェアを抑制する設定オプションを追加することで,このような懸念に対して部分的な対処を実施した。
一方でブラウザメーカは,広範な攻撃対象とされたことで最もよく知られるようになったプラグイン - JavaとFlash - を中心とした問題に次ぐ問題から,プラグインそのものを警戒するようになっている。Googleは昨年4月にプラグイン廃止を発表し,Mozillaも7月に同様の計画を発表している。Microsoftも最新のEdgeブラウザではプラグインをサポートしていない。
Oracleの行動は歓迎されるが,AdobeがFlashの廃止を発表するまで,プラグインのセキュリティ問題は続くだろう。