EFF ook niet blij met YouTube zonder Flash Player
Eind januari kondigde Google aan dat het voortaan standaard HTML5 voor het afspelen van video's gebruikt, zodat gebruikers geen Adobe Flash Player meer nodig hebben, maar volgens de Amerikaanse burgerrechtenbeweging EFF is dit geen overwinning of verbetering voor internetgebruikers.
De Electronic Frontier Foundation (EFF) is ook geen voorstander van Adobe Flash Player, dat het als een gesloten technologie omschrijft waar regelmatig beveiligingslekken in worden gevonden die miljoenen gebruikers aan aanvallen blootstellen. Het overstappen naar HTML5 lijkt op het eerste gezicht dan ook een verbetering, maar is alles behalve dat, laat sciencefictionschrijver, journalist en blogger Cory Doctorow weten.
Het probleem is dat voor het afspelen van YouTubevideo's zonder Flash Player de Encrypted Media Extension (EME) wordt gebruikt. Volgens Doctorow een omstreden technologie waar Apple, Microsoft en Google na overleg met Netflix mee akkoord gingen. In de lente van 2013 besloot ook het World Wide Web Consortium (W3C) zich achter de extensie te scharen. Vorig jaar mei sloot Mozilla zich hier ook bij aan. Volgens de browserontwikkelaar zou het zonder ondersteuning voor Netflix gebruikers aan andere browserleveranciers verliezen. Tot ergernis van Doctorow, die het vergelijkt met het "vernietigen van het dorp om het te redden."
In het geval van YouTube komt het er nu op neer dat gebruikers zonder Adobe Flash Player video's kunnen bekijken. "Zolang je browser de W3C-versie van Adobe's gesloten software ondersteunt", stelt Doctorow. Firefoxgebruikers kunnen alle YouTubevideo's zonder Flash bekijken, maar zullen in bepaalde gevallen de door W3C-gestandaardiseerde Encrypted Media Extension nodig hebben. Die gebruikt echter de gesloten software van Adobe, zoals Mozilla vorig jaar al liet weten. Volgens Doctorow is er dan ook uiteindelijk niets veranderd.
Dat zal op het gebied van security bugs toch wel makkelijker dicht te krijgen zijn.
(maar met Adobe weet je het nooit)
Er is wel degelijk iets veranderd: er wordt geen gebruik meer gemaakt van een browser plug-in. Dat de browser zelf code van Adobe aanroept is heel iets anders dan dat een browser plug-in iets dergelijks doet. Fabrikanten van browsers blijken nl. niet in staat geweest om browser plug-ins afdoende af te schermen van het besturingssysteem waaronder de browser draait. Met alle aan browser plug-ins gerelateerde beveiligingsproblemen als gevolg...
En dit is dus een verkeerde conlcusie. Nu zit de onbetrouwbare bager flash code in een plugin, dat je zelf aan en uit kunt zetten. Straks zit het embed in je Firefox, zonder dat je het uit kunt zetten. Zoals te lezen is, is de EME in filezilla closed sourced, binary code. Of te wel, je bent nog steeds afhankelijk van het slechte programmeren bij Adobe. En het zit nog dichterbij het OS!!! Ik verwacht dat het nu nog vaker je browser kan updaten. Aangezien er nu al bijna weekelijks Flash patches de deur uit gaan.
http://blog.mozilla.org/hacks/files/2014/05/CDM-graphic.png
TheYOSH
Er is wel degelijk iets veranderd: er wordt geen gebruik meer gemaakt van een browser plug-in. Dat de browser zelf code van Adobe aanroept is heel iets anders dan dat een browser plug-in iets dergelijks doet. Fabrikanten van browsers blijken nl. niet in staat geweest om browser plug-ins afdoende af te schermen van het besturingssysteem waaronder de browser draait. Met alle aan browser plug-ins gerelateerde beveiligingsproblemen als gevolg...
Nou nee de problemen zaten niet in de interface tussen de browser en de plug-in, maar in de plug-in zelf.
De meest bekende plug-ins (Java en Flash) zijn beiden complete interpreters voor programmacode die wordt gedownload
van internet. Dat is gewoon linke soep, men kan het ding op allerlei manieren stressen om dingen te doen die niet mogen.
Dat daarbij de interpreter nog in 2 modes kan draaien (sandbox en met meer toestemmingen) maakt het allemaal nog
lastiger. Voeg daarbij een commerciele drijfveer en je hebt een ramp.
Bij video via HTML5 is het allemaal veel beperkter, een transportstream is geen programma. En wat er geprogrammeerd
kan worden is in Javascript wat alleen sandboxed kan werken en geen binaire software kan starten. Dan zit je veel safer.
Er is wel degelijk iets veranderd: er wordt geen gebruik meer gemaakt van een browser plug-in. Dat de browser zelf code van Adobe aanroept is heel iets anders dan dat een browser plug-in iets dergelijks doet. Fabrikanten van browsers blijken nl. niet in staat geweest om browser plug-ins afdoende af te schermen van het besturingssysteem waaronder de browser draait. Met alle aan browser plug-ins gerelateerde beveiligingsproblemen als gevolg...
1) Hoe meer je plugins afschermt van de browser en het OS, hoe minder mogelijkheden ze bieden. Dat is een fundamenteel probleem met plugins in alle software: wil je een architectuur die krachtige plugins toestaat dan kunnen die plugins ook een hoop ellende veroorzaken. Daarom zou je als consument beter moeten gaan nadenken over je browser plugins, net zoals je niet zomaar klakkeloos iedere app op je smartphone installeert.
2) Hoe weet je zeker dat de code die Adobe niet veilig weet te krijgen in plugins, wel veilig werkt in de browser zelf?
3) Een gesloten extensie in een W3C standaard is in wezen onverenigbaar met de rest van de standaard, die juist naar openheid streeft. Het web is geworden tot wat het is door open standaarden en die nu sluiten om het web beter economisch exploiteerbaar te maken voorspelt niet veel goeds voor de toekomst.
4) Doordat de gesloten software geen plugin meer is maar een vast onderdeel van de browser, is het dus onmogelijk om een volledig open browser te maken die de W3C standaard ondersteunt.
Het gaat er hier niet om of er wel of geen plug-ins meer gebruikt worden. Maar dat het nog steeds gesloten software is. Dus in die zin verandert er niks.
Heeft Cory dan ook een suggestie wat volgens hem *wel* goed zou zijn ? Of is hij gewoon alleen maar ''tegen'' ? ;)
Waarom ? Willen gebruikers per definitie open source software ? Of maakt het de gemiddelde gebruiker niets uit, zolang je de video maar kunt zien ?
Je draait dit verhaal in algemene zin alleen maar weer af om (impliciet) de Java kwetsbaarheden vrij te pleiten (nogal doorzichtig en onwaar ook nog)
a) Security van de browserplugin is in de eerste plaats de verantwoordelijkheid van de maker van die plugin zelf!
b) Jawel browsermakers zijn wel in staat gebleken hier oplossingen voor te vinden, in ieder geval ten dele.
Kijk bijvoorbeeld maar naar de oplossing die Firefox heeft.
c) Als de plugin maker het niet lukt om veilige plugin software te schrijven, het niet lukt / niet bereid is om snel genoeg met patches te komen, of niet bereid is een product zonder (stiekeme) plugins te leveren (want zo komen al die plugins ongemerkt in browsers) wordt het de verantwoordelijkheid van de browsermaker haar product en haar gebruikers tegen onveilige plugins te beschermen.
Het is echter niet haar kerntaak om het hele jaar door alle plugins van alle 'software'leveranciers permanent te gaan lopen security testen.
(onzinnig om dit soort onzin verhalen maar te blijven verkondigen om een favoriet maar zeer insecure product vrij te pleiten).
Het is vast niet heel moeilijk om een open source methode te ontwikkelen die hetzelfde kan (en dan eventueel veiliger zou zijn) echter krijgt een dienst als Youtube het nooit voor elkaar om dat te mogen ondersteunen. Voor de auteursrechtelijk afgeschermde zaken dus.
Flash zuigt omdat Adobe niet kan programmeren en zich niet houdt aan de algemene regels van Microsoft en het veilig ontwikkelen van software. Dat Microsoft zelf het ook niet al te nauw neemt met de regels laat ik even rusten... Dat Adobe blijkbaar ook weer voor een deel in HTML5 zit is dan ook geen rede voor een vreugdedans.
Het goede nieuws is dat Mozilla EINDELIJK gaat nadenken over een sandbox voor oa EME. Dat ze nog bar weinig doen aan sandbox(ing) is een schande.
Verder verwacht ik niet dat Open Source zaligmakend is voor privacy. Zeker bij zeer complexe zaken is er geen hond die er verstand van heeft op de ontwikkelaar na. Je maakt mij echt niet wijs dat er daadwerkelijk meer ogen naar kijken dan de paar experts die er verstand van zouden hebben.
De security van de browserplug-in is natuurlijk ook de verantwoordelijkheid van de fabrikant van de plug-in,
Nee niet omdraaien, het is in eerste plaats de verantwoordelijkheid van de fabrikant van die plugin.
Dat was het primaire punt.
Je draait dit verhaal in algemene zin alleen maar weer af om (impliciet) de Java kwetsbaarheden vrij te pleiten (nogal doorzichtig en onwaar ook nog)
Wie heeft het over de Java browserplug-in? Anoniem met z'n stokpaardje Java en z'n kruistocht tegen Oracle denkt weer wat 'ontdekt' te hebben. Het gaat hier over Adobe Flash!
Nog een keer lezen?
Je draait dit verhaal in algemene zin alleen maar weer af om (impliciet) de Java kwetsbaarheden vrij te pleiten (nogal doorzichtig en onwaar ook nog)
Wie heeft het over de Java browserplug-in? Anoniem met z'n stokpaardje Java en z'n kruistocht tegen Oracle denkt weer wat 'ontdekt' te hebben. Het gaat hier over Adobe Flash!
Nog een keer lezen?
By your command. Maar nee, maakt niet uit, het gaat over Adobe Flash...
Mooi dan zijn we het eens dat die opmerking van je nogal overbodig en ernaast was, omdat de punten eronder (a,b,c) volledig van toepassing zijn op (onder meer) de Flash plugin (en daarmee volledig past binnen de context van het flashplugin-topic).
Gaan we verder met het herhalen van de inhoud van gemaakte opmerkingen (begrijpend lezen), nogmaals:
(onder meer) Firefox heeft met het standaard blokkeren van de meeste plugins dus haar maatregelen allang genomen en is in zoverre dus in staat geweest om de security voor gebruikers te verhogen.
Binnen de context van de door de browser aangeboden afgeschermde omgeving. Maar als die afgeschermde omgeving niet zo afgeschermd blijkt dan is het voor een plug-in fabrikant vechten tegen de bierkaai (met alle negatieve publiciteit ten gevolge).
Dit is verder zo vaag en breed geformuleerd dat je er (in een forum discussie) altijd wel mee weg kan komen.
Het is alleen (helaas voor de overtuiging van het argument) te vergezocht als je het toepast op de werkelijke realiteit.
Voor gaten in de flash plugin is Adobe zelf verantwoordelijk (voor gaten in de plugin van je favoriete subplatformpje is betreffende leverancier ook zelf verantwoordelijk, net zoals dat geldt voor andere plugins, adobe reader bijvoorbeeld, enzovoort).
De meeste (door jou vaag gehouden omschrijving van) negatieve publiciteit hebben leveranciers van diverse plugins volledig aan zichzelf te danken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
