Facebook-topman wil dat Adobe stopt met Flash
Als het aan de kersverse Chief Security Officer (CSO) van Facebook ligt gaat Adobe stoppen met Flash en stoppen ook alle browserontwikkelaars de ondersteuning van de populaire technologie in hun browsers. Alex Stamos, die hiervoor de hoogste beveiligingsfunctie bij Yahoo vervulde, is nog geen twee weken de nieuwe CSO van Facebook.
Via Twitter liet hij weten dat Adobe een datum moet aankondigen waarna Flash niet meer wordt ondersteund. Browserontwikkelaars zoals Mozilla, Microsoft en Google kunnen vervolgens een "killbit" opnemen, zodat de technologie na deze datum niet meer in hun browsers werkt. Volgens Stamos is dit de enige manier om alle websites en technologieën die nog van Flash afhankelijk zijn uit elkaar te halen en in één keer het gehele ecosysteem te upgraden.
De opmerking van Stamos lijkt los te staan van de recente beveiligingslekken die in Adobe Flash Player zijn gevonden. Hij richt zich vooral op Flash als webtechnologie. Volgens Stamos kiezen ontwikkelaars en softwarebedrijven ervoor om hun tools en programma's niet naar HTML5 te upgraden, aangezien ze verwachten dat Flash voor altijd zal worden ondersteund. Als Adobe een datum geeft kan er echter worden begonnen om de afhankelijkheid van Flash af te bouwen en op HTML5 over te stappen.
Reacties (19)
Klinkt misschien raar maar liever niet (niet gedacht dat ik dat ooit zou zeggen gezien dat flash zo'n aanvals vector is)
Het is juist lekker dat flash een aparte plugin is die je achter click to play kan hangen. Ook als je iets van security software (comodo bv) hebt kan je precies zien wanneer flash geladen wordt. en of je dat dat wil toestaan.
Maw met een plugin kan je volledige controle hebben, wat met html5 players niet echt het geval is. Zelfs met noscript/request policy staat het of aan of uit.
Dan zouden eigenlijk de browsers ook een click to play voor html5 video moeten gaan ondersteunen (om malvertising en autoplay onzin voorkomen)
niet dat adobe ooit gaat ophouden...
Het is juist lekker dat flash een aparte plugin is die je achter click to play kan hangen. Ook als je iets van security software (comodo bv) hebt kan je precies zien wanneer flash geladen wordt. en of je dat dat wil toestaan.
Maw met een plugin kan je volledige controle hebben, wat met html5 players niet echt het geval is. Zelfs met noscript/request policy staat het of aan of uit.
Dan zouden eigenlijk de browsers ook een click to play voor html5 video moeten gaan ondersteunen (om malvertising en autoplay onzin voorkomen)
niet dat adobe ooit gaat ophouden...
Het probleem zit niet in Flash, het probleem zit in Windows dat alles wat de flash-interpreter wil doen ook zomaar toestaat zonder sandbox.
13-07-2015, 14:38 door
Carpetsmoker
Want HTML5 heeft nooit beveiligingslekken of andere problemen :-)
Ik ben ook geen fan van flash, en heb het al jaren niet meer geïnstalleerd, maar het arrogante HTML5-evengalisme van sommige mensen begint me toch een beetje te vervelen. De exacte staat van HTML5 video weet ik niet zo, maar ik heb een tijd geleden wel uitvoerig gewerkt met HTML5 audio, en dat is in alle browsers gewoon een disfunctionele half geïmplanteerde rommel. Met Flash zou ik hier veel meer mee kunnen doen.
Ik ben ook geen fan van flash, en heb het al jaren niet meer geïnstalleerd, maar het arrogante HTML5-evengalisme van sommige mensen begint me toch een beetje te vervelen. De exacte staat van HTML5 video weet ik niet zo, maar ik heb een tijd geleden wel uitvoerig gewerkt met HTML5 audio, en dat is in alle browsers gewoon een disfunctionele half geïmplanteerde rommel. Met Flash zou ik hier veel meer mee kunnen doen.
13-07-2015, 14:53 door
meinonA
Door Carpetsmoker:De exacte staat van HTML5 video weet ik niet zo, maar ik heb een tijd geleden wel uitvoerig gewerkt met HTML5 audio, en dat is in alle browsers gewoon een disfunctionele half geïmplanteerde rommel. Met Flash zou ik hier veel meer mee kunnen doen.
Een duidelijke EOL zal er dan voor gaan zorgen dat alle implementaties gladgestreken gaan worden.
13-07-2015, 15:00 door
Carpetsmoker
Door meinonA:
Een duidelijke EOL zal er dan voor gaan zorgen dat alle implementaties gladgestreken gaan worden.
Door Carpetsmoker:De exacte staat van HTML5 video weet ik niet zo, maar ik heb een tijd geleden wel uitvoerig gewerkt met HTML5 audio, en dat is in alle browsers gewoon een disfunctionele half geïmplanteerde rommel. Met Flash zou ik hier veel meer mee kunnen doen.
Een duidelijke EOL zal er dan voor gaan zorgen dat alle implementaties gladgestreken gaan worden.
Ik betwijfel het. Er is genoeg rommel op het web die nog lang niet "glad gestreken" is (*kuch* JavaScript *proest* DOM).
Daarnaast kan iedereen dus zijn applicaties volledig van de grond af herschrijven. Even los van of dat wenselijk is (zo kapot is Flash nu ook weer niet), denk je nu echt dat dit realistisch is? Of zullen veel bedrijven ervoor kiezen om gewoon met oude systemen te blijven draaien? Er zijn ook nog genoeg bedrijven die met XP draaien.
Om de 10 jaar alle tech het raam uitgooien en vervangen door iets compleet nieuws is simpelweg niet heel erg realistisch (eerst waren het de Java applets & ActiveX, nu Flash, morgen HTML5?).
13-07-2015, 15:46 door
Carpetsmoker
Dan zouden eigenlijk de browsers ook een click to play voor html5 video moeten gaan ondersteunen (om malvertising en autoplay onzin voorkomen).
Chrome is Google is YouTube is grootste adverteerder is HTML5 standaard-trendsetter ... Conflict of interest much?
Door Anoniem: Het probleem zit niet in Flash, het probleem zit in Windows dat alles wat de flash-interpreter wil doen ook zomaar toestaat zonder sandbox.
Het probleem zit niet in Windows, het probleem zit in de omgeving die web browsers aanbieden voor plug-ins. Ga maar na: dat is de gemene deler bij al die high profile vulnerabilities.
Door Carpetsmoker: Want HTML5 heeft nooit beveiligingslekken of andere problemen :-)
De kans daarop is natuurlijk wel kleiner omdat HTML5 native in de browser is geïmplementeerd (zonder de overhead van een complexe omgeving voor browserplug-ins, die voor een berg extra complexe code zorgt, die geen core functionaliteit bevat - in dit geval HTML5 related - en waarin fouten gemaakt kunnen worden).
Als het aan de kersverse Chief Security Officer (CSO) van Facebook ligt gaat Adobe stoppen met Flash en stoppen ook alle browserontwikkelaars de ondersteuning van de populaire technologie in hun browsers.
Als het aan de kersverse mij ligt gaat Facebook stoppen met Facebook en stoppen ook alle browserontwikkelaars de ondersteuning van populaire social media content in hun browsers.
13-07-2015, 17:37 door
Briolet
Lijkt me geen optie. Te veel zaken die waarschijnlijk niet geupdate worden zijn nu afhankelijk van flash.
Zo heb ik IP cameras waar een deel van de grafische instellingen via flash lopen. Ik zie zo gauw geen update uitgebracht worden als de browser geen flash ondersteunt.
En ik zal de camera als 'flash-host', toch wel als betrouwbaar blijven zien omdat die alleen binnen het netwerk toegankelijk zijn.
Zo heb ik IP cameras waar een deel van de grafische instellingen via flash lopen. Ik zie zo gauw geen update uitgebracht worden als de browser geen flash ondersteunt.
En ik zal de camera als 'flash-host', toch wel als betrouwbaar blijven zien omdat die alleen binnen het netwerk toegankelijk zijn.
13-07-2015, 17:50 door
Erik van Straten
13-07-2015, 14:37 door Anoniem: Het probleem zit niet in Flash, het probleem zit in Windows dat alles wat de flash-interpreter wil doen ook zomaar toestaat zonder sandbox.
Tuurlijk joh, en Adobe zelf liegt over Linux en Macintosh in https://helpx.adobe.com/security/products/flash-player/apsa15-04.html: Security Advisory for Adobe Flash Player
Release date: July 10, 2015
Last Updated: July 12, 2015
Vulnerability identifier: APSA15-04
CVE number: CVE-2015-5122, CVE-2015-5123
Platform: Windows, Macintosh and Linux
Summary
Critical vulnerabilities (CVE-2015-5122, CVE-2015-5123) have been identified in Adobe Flash Player 18.0.0.204 and earlier versions for Windows, Macintosh and Linux. Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.
Adobe is aware of reports that exploits targeting these vulnerabilities have been published publicly. Adobe expects to make updates available during the week of July 12, 2015.
Affected software versions
- Adobe Flash Player 18.0.0.203 and earlier versions for Windows and Macintosh
- Adobe Flash Player 18.0.0.204 and earlier versions for Linux installed with Google Chrome
- Adobe Flash Player Extended Support Release version 13.0.0.302 and earlier 13.x versions for Windows and Macintosh
- Adobe Flash Player Extended Support Release version 11.2.202.481 and earlier 11.x versions for Linux
[...]
Release date: July 10, 2015
Last Updated: July 12, 2015
Vulnerability identifier: APSA15-04
CVE number: CVE-2015-5122, CVE-2015-5123
Platform: Windows, Macintosh and Linux
Summary
Critical vulnerabilities (CVE-2015-5122, CVE-2015-5123) have been identified in Adobe Flash Player 18.0.0.204 and earlier versions for Windows, Macintosh and Linux. Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.
Adobe is aware of reports that exploits targeting these vulnerabilities have been published publicly. Adobe expects to make updates available during the week of July 12, 2015.
Affected software versions
- Adobe Flash Player 18.0.0.203 and earlier versions for Windows and Macintosh
- Adobe Flash Player 18.0.0.204 and earlier versions for Linux installed with Google Chrome
- Adobe Flash Player Extended Support Release version 13.0.0.302 and earlier 13.x versions for Windows and Macintosh
- Adobe Flash Player Extended Support Release version 11.2.202.481 and earlier 11.x versions for Linux
[...]
13-07-2015, 14:37 door Anoniem:
De kans daarop is natuurlijk wel kleiner omdat HTML5 native in de browser is geïmplementeerd (zonder de overhead van een complexe omgeving voor browserplug-ins, die voor een berg extra complexe code zorgt, die geen core functionaliteit bevat - in dit geval HTML5 related - en waarin fouten gemaakt kunnen worden).
Huh? Maar met de overhead van een complexe omgeving voor het verwerken van een mix aan HTML, Javascript, CSS en HTML5, die voor een berg extra complexe code zorgt, die veel core functionaliteit bevat - in dit geval HTML5 related - en waarin fouten gemaakt kunnen worden.Door Carpetsmoker: Want HTML5 heeft nooit beveiligingslekken of andere problemen :-)
De kans daarop is natuurlijk wel kleiner omdat HTML5 native in de browser is geïmplementeerd (zonder de overhead van een complexe omgeving voor browserplug-ins, die voor een berg extra complexe code zorgt, die geen core functionaliteit bevat - in dit geval HTML5 related - en waarin fouten gemaakt kunnen worden).
BTW waar zit Click to Play voor HTML5 en WebRTC? (voor een voorbeeld van risico's van WebRTC zie http://net.ipcalf.com/ en https://www.browserleaks.com/webrtc).
Door Anoniem:
Als het aan de kersverse mij ligt gaat Facebook stoppen met Facebook en stoppen ook alle browserontwikkelaars de ondersteuning van populaire social media content in hun browsers.
Als het aan de kersverse Chief Security Officer (CSO) van Facebook ligt gaat Adobe stoppen met Flash en stoppen ook alle browserontwikkelaars de ondersteuning van de populaire technologie in hun browsers.
Als het aan de kersverse mij ligt gaat Facebook stoppen met Facebook en stoppen ook alle browserontwikkelaars de ondersteuning van populaire social media content in hun browsers.
Precies! Buitengewoon hautain statement van iemand van Facebook. Laat die man zich lekker bemoeien met zijn eigen zaken en consumenten vrij laten in hun keuzes.
13-07-2015, 22:35 door
[Account Verwijderd]
[Verwijderd door moderator]
Door Erik van Straten:
13-07-2015, 14:37 door Anoniem:
De kans daarop is natuurlijk wel kleiner omdat HTML5 native in de browser is geïmplementeerd (zonder de overhead van een complexe omgeving voor browserplug-ins, die voor een berg extra complexe code zorgt, die geen core functionaliteit bevat - in dit geval HTML5 related - en waarin fouten gemaakt kunnen worden).
Huh? Maar met de overhead van een complexe omgeving voor het verwerken van een mix aan HTML, Javascript, CSS en HTML5, die voor een berg extra complexe code zorgt, die veel core functionaliteit bevat - in dit geval HTML5 related - en waarin fouten gemaakt kunnen worden.Door Carpetsmoker: Want HTML5 heeft nooit beveiligingslekken of andere problemen :-)
De kans daarop is natuurlijk wel kleiner omdat HTML5 native in de browser is geïmplementeerd (zonder de overhead van een complexe omgeving voor browserplug-ins, die voor een berg extra complexe code zorgt, die geen core functionaliteit bevat - in dit geval HTML5 related - en waarin fouten gemaakt kunnen worden).
Huh? Dat gaat op voor zowel native implementatie als voor omgeving waarin browserplug-ins moeten draaien (in beide gevallen moet immers uiteindelijk die mix aan HTML, Javascript, CSS en HTML5 worden verwerkt). Aan die functionaliteit ontkom je niet en daarvoor moet je code hebben.
Echter alleen indien de HTML5 verwerkende als browserplug-in moet draaien heb je de additionele overhead van het plug-in mechanisme (waarin je veel fouten kan maken).
En ik wil dat Facebook stopt met Facebook, omdat het te vaak privacy issues oplevert.
Tja, als een facebook mannetje dat zegt,verwacht ik dat hij preekt voor eigen parochie. Als iedereen zou overstappen op html5. (Voor adobe commercieel trouwens niet interessant) Zal het voor een data graaier als facebook alleen maar weer makkelijker worden om met behulp van canvas fingerprinting iedereen te volgen. En die intensie van ze is wel bewezen. Facebook is ''ook" Evil. In principe zijn alle grote data graaiers evil. Adobes tagmanager is geen uitzondering. Maar wel van een andere graaier, dat geeft misschien enige risico spreiding. En achter een klik to play optie te zetten. Wat voor het klikvee nog wel mogelijk is. Het uitzetten van canvas fingerprinting vergt weer wat meer werk. En zal dan ook minder gebeuren.
14-07-2015, 08:18 door
vertelheteens
Het probleem zit niet in flash, maar het probleem is dat facebook geen gegevens uit iedere willekeurige flash object kan halen om stiekem op te slaan. En dit is vanuit HTML5 makkelijker te regelen omdat dan de code kan worden doorgespit.
is nog geen twee weken de nieuwe CSO van Facebook.
Och, aha; snel even veilig scoren met iets dat al onder vuur lag voor er HTML5 was en voordat er een werkelijk alternatief is.Of eh... behalve MP4 en Silverlight... wat is het het alternatief voor al dat Flash meer is dan dat?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
