"Html5 wordt niet het einde van besmette advertenties"
Google stopt vanaf 1 januari volgend jaar met het tonen van Flash-advertenties en zal alleen nog maar html5-advertenties tonen, toch zal de overstap naar html5 niet het definitieve einde van besmette advertenties betekenen. Dat beweert beveiligingsbedrijf GeoEdge.
Steeds meer partijen op internet kiezen ervoor om Flash door html5 te vervangen. Mede vanwege het grote aantal aanvallen op gebruikers van Flash Player. Html5 wordt daarnaast door alle moderne browsers ondersteund en vereist geen aanvullende browserplug-ins. Dit zou zowel de veiligheid, prestaties als stabiliteit van browsers moeten verbeteren. Volgens GeoEdge zijn er ook zonder Flash allerlei manieren om kwaadaardige code aan een html5-advertentie toe te voegen. Zo vormt JavaScript een belangrijk onderdeel van besmette advertenties. JavaScript is echter ook de basis voor html5.
"Cybercriminelen zullen besmette advertenties blijven gebruiken omdat de winst groot is en het risico klein", zegt Sagi Elgavi van GeoEdge. Waar het bedrijf echter aan voorbij gaat is dat de besmette advertenties nu vooral gebruik van kwetsbaarheden in Flash Player maken. Als Flash Player straks op steeds minder websites is vereist en steeds minder mensen het hebben geïnstalleerd, zullen cybercriminelen kwetsbaarheden in de browsers zelf moeten vinden om gebruikers aan te kunnen vallen.
Iets wat vooralsnog weinig voorkomt. Zo zijn er nog geen drive-by download-aanvallen op Google Chrome in het wild waargenomen en bevatten populaire exploitkits ook geen aanvallen voor Firefox, Safari en Edge. Mede door de snelheid en de automatische updatefunctie waarmee partijen als Google en Mozilla updaten is het aantal gebruikers met een openstaand browserlek een stuk kleiner dan bij bepaalde browserplug-ins het geval is. Internet Explorer is nog altijd wel een doelwit van exploitkits, net als Microsoft Silverlight. Ook deze browserplug-in wordt echter uitgefaseerd.
Al diegenen die roepen dat je het panacee hebt uitgevonden door HTML5 te gebruiken, slaan de plank volledig mis.
Weliswaar wordt hierdoor het internet niet veiliger, maar wel de afhandeling aan de client kant.
Mijn 2 centen.
Al diegenen die roepen dat je het panacee hebt uitgevonden door HTML5 te gebruiken, slaan de plank volledig mis.[/quote]
Volgens mij is de panacee het zoveel mogelijk beperken van de mogelijkheden (dus geen Flash meer maar nog slechts
HTML5) om dan vervolgens met een effectieve adblocker alleen daar nog op te hoeven focussen om het probleem op
te lossen.
Het probleem is het advertentie model met externe adhosters die niet gerelateerd zijn aan de site en die advertenties
toelaten die ze "niet kunnen controleren".
Deze moeten worden vervangen door adhosters die dat wel kunnen.
Zolang dat niet gebeurd is block ik ze gewoon. Dan is wat mij betreft het probleem opgelost, en als dat naar mening
van de site exploitanten anders zit dan moeten ZIJ het probleem aanpakken van de rotte appelen waar de adhoster
business kennelijk voornamelijk uit bestaat (en de brakke software die ze gebruiken).
Deze moeten worden vervangen door adhosters die dat wel kunnen.
Jammer genoeg is het malwarerisico lang niet het enige probleem. Tracking vormt een ernstig privacyprobleem, niet alleen in de zin dat er databases met gedetailleerde persoonsgegevens bij onduidelijke partijen staan en tussen die partijen worden uitgewisseld, maar net zo goed het onvermijdelijke effect ervan dat iedereen die op je beeldscherm mee kan kijken via advertenties, YouTube-suggesties en dergelijke een indruk van je voorkeuren kan krijgen, soms zelfs een heel privacygevoelige voorkeur. Advertenties moeten passend gemaakt worden voor de pagina waarop ze getoond worden, niet voor de bezoeker die ze bekijkt.
De reden dat ik jaren geleden advertenties ben gaan blokkeren had nog niets met 'big data' of met malware te maken, maar met het feit dat ik teveel last kreeg van webpagina's met slechts een paar alinea's relevante tekst die op mijn bescheiden computertje soms wel twee minuten nodig hadden om te laden in plaats van twee seconden, en op al het aandachttrekkende geflikker dat het me nagenoeg onmogelijk maakte om te lezen waar ik voor kwam. Ik heb trouwens bij voetbalwedstrijden hetzelfde probleem tegenwoordig, de voortdurend verspringende en bewegende advertenties rondom het veld leiden mijn aandacht veel te sterk af van het spel zelf. Advertentieinkomsten zijn prima, maar als de advertenties de webpagina, de voetbalwedstrijd, de film op tv of wat dan ook gaan overheersen schieten ze hun doel voorbij, dan ondermijnen adverteerders de reden dat mensen hun advertenties überhaupt te zien krijgen. Op het web gaan ze al heel lang veel te ver daarmee, en daarmee bewijzen ze dat ze geen maat weten te houden in het elkaar overtreffen in hun zucht naar aandacht. De afnemers van die advertenties hebben kennelijk zo weinig respect voor wat ze zelf te bieden hebben dat ze dat accepteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
