Mozilla Foundationは公式にブラウザ環境でのJavaを無効化することを検討している。これは、ブラウザにセキュリティ上の弱点を持ち込む要素のトップ3の1つがJavaであることを示す最近の研究結果にもとづくものである。Windowsマシンを容易に危険にさらす方法について調査した最近の研究結果ではそのリストのトップにJavaがあり、パッチがあたっていないJavaランタイム環境(JRE)の問題が脆弱性全体の37%を占めていて、それにAdobe Readerが32%と僅差で続き、Adobe Flashが16%となっている。
開発者はデベロッパーキットを最新のバージョンに更新し続けることが普通だが、ブラウザではJavaランタイム環境はそれほど頻繁に更新されない。一般にJavaランタイム環境は隠れたコンポーネントであり、ユーザが忘れがちだからである。すべてのブラウザはJavaサポートを無効にすることを選択できる一方、多くの場合JREがシステムに見つかると自動的に追加されてしまう。
Javaはそのユビキタス性によって、一度Mozillaブラウザとともに出荷されてしまえばAppletを一般のユーザにもたらすという事実はあるが、今日Javaがクライアント側で使われることはほとんどない。確かにまったく使われていないとは言えない: Javaを通信の手段として利用する実行環境も存在する – Facebookチャットなど – が、WebSocketsプロトコルが出てくればこれらの使われ方も置き換わっていくだろう。
しかしながら、BEAST(Browser Exploit Against SSL/TLS)クラッキング技術により、Javaがクライアント側にあることによって最近その最前線にさらされている。このことが、プラグインそのものによって起こるセキュリティ脆弱性の理由からJavaプラグインをブラックリストに入れるというバグリスト上での提案につながっている。
BEAST攻撃はTLS 1.0に対してしか有効ではなく(TLSバージョン1.1はこの攻撃の影響を受けないが、広く行き渡ってはいない)、最初のパケットスニッフィングのいくつかはブラウザに組み込まれた欠陥のあるJREによって実現されているようだ。
InfoQはOracleにコメントを求めたが、まだ反応を得られていない。MozillaのJavaプラグインをブラックリストに入れることについて特に決定は行われていない。