image

EFF ook niet blij met YouTube zonder Flash Player

maandag 9 februari 2015, 10:31 door Redactie, 23 reacties

Eind januari kondigde Google aan dat het voortaan standaard HTML5 voor het afspelen van video's gebruikt, zodat gebruikers geen Adobe Flash Player meer nodig hebben, maar volgens de Amerikaanse burgerrechtenbeweging EFF is dit geen overwinning of verbetering voor internetgebruikers.

De Electronic Frontier Foundation (EFF) is ook geen voorstander van Adobe Flash Player, dat het als een gesloten technologie omschrijft waar regelmatig beveiligingslekken in worden gevonden die miljoenen gebruikers aan aanvallen blootstellen. Het overstappen naar HTML5 lijkt op het eerste gezicht dan ook een verbetering, maar is alles behalve dat, laat sciencefictionschrijver, journalist en blogger Cory Doctorow weten.

Het probleem is dat voor het afspelen van YouTubevideo's zonder Flash Player de Encrypted Media Extension (EME) wordt gebruikt. Volgens Doctorow een omstreden technologie waar Apple, Microsoft en Google na overleg met Netflix mee akkoord gingen. In de lente van 2013 besloot ook het World Wide Web Consortium (W3C) zich achter de extensie te scharen. Vorig jaar mei sloot Mozilla zich hier ook bij aan. Volgens de browserontwikkelaar zou het zonder ondersteuning voor Netflix gebruikers aan andere browserleveranciers verliezen. Tot ergernis van Doctorow, die het vergelijkt met het "vernietigen van het dorp om het te redden."

In het geval van YouTube komt het er nu op neer dat gebruikers zonder Adobe Flash Player video's kunnen bekijken. "Zolang je browser de W3C-versie van Adobe's gesloten software ondersteunt", stelt Doctorow. Firefoxgebruikers kunnen alle YouTubevideo's zonder Flash bekijken, maar zullen in bepaalde gevallen de door W3C-gestandaardiseerde Encrypted Media Extension nodig hebben. Die gebruikt echter de gesloten software van Adobe, zoals Mozilla vorig jaar al liet weten. Volgens Doctorow is er dan ook uiteindelijk niets veranderd.

Reacties (23)
09-02-2015, 10:40 door Anoniem
VLC rulez! ;)
09-02-2015, 10:57 door Anoniem
Nou wat er wel duidelijk beter is, is dat het nu een streaming media format is in plaats van een programmeeromgeving.
Dat zal op het gebied van security bugs toch wel makkelijker dicht te krijgen zijn.
(maar met Adobe weet je het nooit)
09-02-2015, 11:15 door [Account Verwijderd] - Bijgewerkt: 09-02-2015, 11:15
[Verwijderd]
09-02-2015, 11:30 door Anoniem
Het grootste probleem met het ondersteunen van 1 methode is het gebrek aan alternatief. Als er een lek in HTML5 video wordt gevonden, dan is er geen alternatief meer.Diversiteit is goed, monocultuur is slecht.
09-02-2015, 11:32 door Anoniem
Door Krakatau:
Er is wel degelijk iets veranderd: er wordt geen gebruik meer gemaakt van een browser plug-in. Dat de browser zelf code van Adobe aanroept is heel iets anders dan dat een browser plug-in iets dergelijks doet. Fabrikanten van browsers blijken nl. niet in staat geweest om browser plug-ins afdoende af te schermen van het besturingssysteem waaronder de browser draait. Met alle aan browser plug-ins gerelateerde beveiligingsproblemen als gevolg...

En dit is dus een verkeerde conlcusie. Nu zit de onbetrouwbare bager flash code in een plugin, dat je zelf aan en uit kunt zetten. Straks zit het embed in je Firefox, zonder dat je het uit kunt zetten. Zoals te lezen is, is de EME in filezilla closed sourced, binary code. Of te wel, je bent nog steeds afhankelijk van het slechte programmeren bij Adobe. En het zit nog dichterbij het OS!!! Ik verwacht dat het nu nog vaker je browser kan updaten. Aangezien er nu al bijna weekelijks Flash patches de deur uit gaan.

http://blog.mozilla.org/hacks/files/2014/05/CDM-graphic.png

TheYOSH
09-02-2015, 11:39 door Anoniem
Door Krakatau:
Er is wel degelijk iets veranderd: er wordt geen gebruik meer gemaakt van een browser plug-in. Dat de browser zelf code van Adobe aanroept is heel iets anders dan dat een browser plug-in iets dergelijks doet. Fabrikanten van browsers blijken nl. niet in staat geweest om browser plug-ins afdoende af te schermen van het besturingssysteem waaronder de browser draait. Met alle aan browser plug-ins gerelateerde beveiligingsproblemen als gevolg...

Nou nee de problemen zaten niet in de interface tussen de browser en de plug-in, maar in de plug-in zelf.
De meest bekende plug-ins (Java en Flash) zijn beiden complete interpreters voor programmacode die wordt gedownload
van internet. Dat is gewoon linke soep, men kan het ding op allerlei manieren stressen om dingen te doen die niet mogen.
Dat daarbij de interpreter nog in 2 modes kan draaien (sandbox en met meer toestemmingen) maakt het allemaal nog
lastiger. Voeg daarbij een commerciele drijfveer en je hebt een ramp.

Bij video via HTML5 is het allemaal veel beperkter, een transportstream is geen programma. En wat er geprogrammeerd
kan worden is in Javascript wat alleen sandboxed kan werken en geen binaire software kan starten. Dan zit je veel safer.
09-02-2015, 11:48 door Anoniem
Ik begrijp niet wat dan nu het nadeel is om nu een 'standaard' te kiezen t.o.v. Adobe Flash. Dat komt niet echt terug in het artikel.
09-02-2015, 12:08 door Anoniem
Ongevraagd krijg ik dus nog steeds crappy code van Adobe geleverd... Flash kon ik tenminste nog op eigen initiatief installeren (of niet).
09-02-2015, 12:21 door Anoniem
Door Krakatau:
Er is wel degelijk iets veranderd: er wordt geen gebruik meer gemaakt van een browser plug-in. Dat de browser zelf code van Adobe aanroept is heel iets anders dan dat een browser plug-in iets dergelijks doet. Fabrikanten van browsers blijken nl. niet in staat geweest om browser plug-ins afdoende af te schermen van het besturingssysteem waaronder de browser draait. Met alle aan browser plug-ins gerelateerde beveiligingsproblemen als gevolg...

1) Hoe meer je plugins afschermt van de browser en het OS, hoe minder mogelijkheden ze bieden. Dat is een fundamenteel probleem met plugins in alle software: wil je een architectuur die krachtige plugins toestaat dan kunnen die plugins ook een hoop ellende veroorzaken. Daarom zou je als consument beter moeten gaan nadenken over je browser plugins, net zoals je niet zomaar klakkeloos iedere app op je smartphone installeert.

2) Hoe weet je zeker dat de code die Adobe niet veilig weet te krijgen in plugins, wel veilig werkt in de browser zelf?

3) Een gesloten extensie in een W3C standaard is in wezen onverenigbaar met de rest van de standaard, die juist naar openheid streeft. Het web is geworden tot wat het is door open standaarden en die nu sluiten om het web beter economisch exploiteerbaar te maken voorspelt niet veel goeds voor de toekomst.

4) Doordat de gesloten software geen plugin meer is maar een vast onderdeel van de browser, is het dus onmogelijk om een volledig open browser te maken die de W3C standaard ondersteunt.
09-02-2015, 12:29 door Anoniem
Er is wel degelijk iets veranderd: er wordt geen gebruik meer gemaakt van een browser plug-in. Dat de browser zelf code van Adobe aanroept is heel iets anders dan dat een browser plug-in iets dergelijks doet. Fabrikanten van browsers blijken nl. niet in staat geweest om browser plug-ins afdoende af te schermen van het besturingssysteem waaronder de browser draait. Met alle aan browser plug-ins gerelateerde beveiligingsproblemen als gevolg...

Het gaat er hier niet om of er wel of geen plug-ins meer gebruikt worden. Maar dat het nog steeds gesloten software is. Dus in die zin verandert er niks.
09-02-2015, 13:14 door Anoniem
Het overstappen naar HTML5 lijkt op het eerste gezicht dan ook een verbetering, maar is alles behalve dat, laat sciencefictionschrijver, journalist en blogger Cory Doctorow weten.

Heeft Cory dan ook een suggestie wat volgens hem *wel* goed zou zijn ? Of is hij gewoon alleen maar ''tegen'' ? ;)

Volgens de Amerikaanse burgerrechtenbeweging EFF is dit geen overwinning of verbetering voor internetgebruikers.

Waarom ? Willen gebruikers per definitie open source software ? Of maakt het de gemiddelde gebruiker niets uit, zolang je de video maar kunt zien ?
09-02-2015, 13:26 door [Account Verwijderd]
[Verwijderd]
09-02-2015, 13:34 door [Account Verwijderd]
[Verwijderd]
09-02-2015, 13:35 door [Account Verwijderd] - Bijgewerkt: 09-02-2015, 13:35
[Verwijderd]
09-02-2015, 14:52 door Anoniem
Fabrikanten van browsers blijken nl. niet in staat geweest om browser plug-ins afdoende af te schermen van het besturingssysteem waaronder de browser draait.

Je draait dit verhaal in algemene zin alleen maar weer af om (impliciet) de Java kwetsbaarheden vrij te pleiten (nogal doorzichtig en onwaar ook nog)

a) Security van de browserplugin is in de eerste plaats de verantwoordelijkheid van de maker van die plugin zelf!

b) Jawel browsermakers zijn wel in staat gebleken hier oplossingen voor te vinden, in ieder geval ten dele.
Kijk bijvoorbeeld maar naar de oplossing die Firefox heeft.

c) Als de plugin maker het niet lukt om veilige plugin software te schrijven, het niet lukt / niet bereid is om snel genoeg met patches te komen, of niet bereid is een product zonder (stiekeme) plugins te leveren (want zo komen al die plugins ongemerkt in browsers) wordt het de verantwoordelijkheid van de browsermaker haar product en haar gebruikers tegen onveilige plugins te beschermen.

Het is echter niet haar kerntaak om het hele jaar door alle plugins van alle 'software'leveranciers permanent te gaan lopen security testen.
(onzinnig om dit soort onzin verhalen maar te blijven verkondigen om een favoriet maar zeer insecure product vrij te pleiten).
09-02-2015, 17:15 door Mysterio
Als ik het een beetje begrijp heeft het in de eerste plaats te maken met auteursrechten. Of beter gezegd: het kunnen controleren van de handhaving van de auteursrechten. Het is dus niet zozeer een probleem van de browser, maar een eis die wordt gesteld vanuit de almachtige entertainment industrie om bepaalde inhoud te mogen laten zien.

Het is vast niet heel moeilijk om een open source methode te ontwikkelen die hetzelfde kan (en dan eventueel veiliger zou zijn) echter krijgt een dienst als Youtube het nooit voor elkaar om dat te mogen ondersteunen. Voor de auteursrechtelijk afgeschermde zaken dus.

Flash zuigt omdat Adobe niet kan programmeren en zich niet houdt aan de algemene regels van Microsoft en het veilig ontwikkelen van software. Dat Microsoft zelf het ook niet al te nauw neemt met de regels laat ik even rusten... Dat Adobe blijkbaar ook weer voor een deel in HTML5 zit is dan ook geen rede voor een vreugdedans.

Het goede nieuws is dat Mozilla EINDELIJK gaat nadenken over een sandbox voor oa EME. Dat ze nog bar weinig doen aan sandbox(ing) is een schande.

Verder verwacht ik niet dat Open Source zaligmakend is voor privacy. Zeker bij zeer complexe zaken is er geen hond die er verstand van heeft op de ontwikkelaar na. Je maakt mij echt niet wijs dat er daadwerkelijk meer ogen naar kijken dan de paar experts die er verstand van zouden hebben.
09-02-2015, 18:06 door [Account Verwijderd]
[Verwijderd]
09-02-2015, 19:01 door Anoniem
Door Krakatau:

De security van de browserplug-in is natuurlijk ook de verantwoordelijkheid van de fabrikant van de plug-in,

Nee niet omdraaien, het is in eerste plaats de verantwoordelijkheid van de fabrikant van die plugin.
Dat was het primaire punt.
09-02-2015, 19:06 door Anoniem
Door Krakatau:
Door Anoniem:
Fabrikanten van browsers blijken nl. niet in staat geweest om browser plug-ins afdoende af te schermen van het besturingssysteem waaronder de browser draait.

Je draait dit verhaal in algemene zin alleen maar weer af om (impliciet) de Java kwetsbaarheden vrij te pleiten (nogal doorzichtig en onwaar ook nog)

Wie heeft het over de Java browserplug-in? Anoniem met z'n stokpaardje Java en z'n kruistocht tegen Oracle denkt weer wat 'ontdekt' te hebben. Het gaat hier over Adobe Flash!

Nog een keer lezen?
09-02-2015, 20:59 door [Account Verwijderd]
[Verwijderd]
09-02-2015, 21:01 door [Account Verwijderd]
[Verwijderd]
09-02-2015, 21:59 door Anoniem
Door Krakatau:
Door Anoniem:
Door Krakatau:
Door Anoniem:
Fabrikanten van browsers blijken nl. niet in staat geweest om browser plug-ins afdoende af te schermen van het besturingssysteem waaronder de browser draait.

Je draait dit verhaal in algemene zin alleen maar weer af om (impliciet) de Java kwetsbaarheden vrij te pleiten (nogal doorzichtig en onwaar ook nog)

Wie heeft het over de Java browserplug-in? Anoniem met z'n stokpaardje Java en z'n kruistocht tegen Oracle denkt weer wat 'ontdekt' te hebben. Het gaat hier over Adobe Flash!

Nog een keer lezen?

By your command. Maar nee, maakt niet uit, het gaat over Adobe Flash...

Mooi dan zijn we het eens dat die opmerking van je nogal overbodig en ernaast was, omdat de punten eronder (a,b,c) volledig van toepassing zijn op (onder meer) de Flash plugin (en daarmee volledig past binnen de context van het flashplugin-topic).

Gaan we verder met het herhalen van de inhoud van gemaakte opmerkingen (begrijpend lezen), nogmaals:
(onder meer) Firefox heeft met het standaard blokkeren van de meeste plugins dus haar maatregelen allang genomen en is in zoverre dus in staat geweest om de security voor gebruikers te verhogen.

Door Krakatau:
Binnen de context van de door de browser aangeboden afgeschermde omgeving. Maar als die afgeschermde omgeving niet zo afgeschermd blijkt dan is het voor een plug-in fabrikant vechten tegen de bierkaai (met alle negatieve publiciteit ten gevolge).

Dit is verder zo vaag en breed geformuleerd dat je er (in een forum discussie) altijd wel mee weg kan komen.
Het is alleen (helaas voor de overtuiging van het argument) te vergezocht als je het toepast op de werkelijke realiteit.
Voor gaten in de flash plugin is Adobe zelf verantwoordelijk (voor gaten in de plugin van je favoriete subplatformpje is betreffende leverancier ook zelf verantwoordelijk, net zoals dat geldt voor andere plugins, adobe reader bijvoorbeeld, enzovoort).
De meeste (door jou vaag gehouden omschrijving van) negatieve publiciteit hebben leveranciers van diverse plugins volledig aan zichzelf te danken.
10-02-2015, 10:10 door [Account Verwijderd] - Bijgewerkt: 10-02-2015, 10:30
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.