image

Google verwijdert support voor ftp-protocol volledig uit Chrome-code

woensdag 20 oktober 2021, 15:04 door Redactie, 8 reacties

Met de lancering van Chrome 95 heeft Google de support voor het ftp-protocol volledig uit de code van de browser verwijderd. Tevens werden er negentien kwetsbaarheden verholpen. Volgens het techbedrijf is het uit 1971 stammende File Transfer Protocol (ftp) onveilig, wordt de ingebouwde ftp-client weinig gebruikt en zijn er betere ftp-oplossingen voor gebruikers beschikbaar.

Ftp maakt geen gebruik van encryptie waardoor inloggegevens en data als platte tekst naar de ftp-server worden verstuurd. Het wordt dan ook als een onveilig en verouderd protocol beschouwd. Google was al geruime tijd bezig om de support van het ftp-protocol uit te faseren en heeft dat nu ook doorgevoerd. Gebruikers die nog van ftp gebruikmaken moeten dan ook een aparte ftp-client installeren.

Van de negentien verholpen kwetsbaarheden in Chrome zijn er vijf als "high" geclassificeerd. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

Gebruikers krijgen het advies om te updaten naar Google Chrome 95.0.4638.54, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen.

Naast de standaard Chrome-versie die elke vier weken door Google van feature- en beveiligingsupdates wordt voorzien is er ook een "Extended Stable" versie, die elke acht weken zogeheten "milestone updates" ontvangt. Extended Stable is beschikbaar voor systeembeheerders van organisaties en partijen die Chromium binnen hun eigen producten of omgevingen embedden en meer tijd nodig hebben voor het beheren van updates. Gebruikers van het Extended Stable Channel kunnen updaten naar versie 94.0.4606.101.

Reacties (8)
20-10-2021, 15:34 door Anoniem
Wat browsermakers zich tegenwoordig niet meer realiseren is dat browsers soms ook in gesloten omgevingen gebruikt
worden om devices te beheren die geen updates ontvangen in de zin dat men bijvoorbeeld een ftp protocol gaat
vervangen door iets anders, of andere wijzigingen die men de laatste tijd aanbrengt (zoals het laten vervallen van
support voor Java en Flash, bijvoorbeeld, of het uitfaseren van http).

Wellicht is er wel een markt voor een browser die nog wel dit soort oude protocollen ondersteunt en die dan wel wordt
geupdate voor aanpassingen in het operating system maar niet voor wat betreft het weghalen van protocollen die niet
meer modern zijn... met name voor het beheer van lokale spullen.
20-10-2021, 16:13 door Anoniem
@ Anoniem van 15:34,

Wat denk je in dit verband van Chameleon?
20-10-2021, 16:37 door Anoniem
Door Anoniem: Wat browsermakers zich tegenwoordig niet meer realiseren is dat browsers soms ook in gesloten omgevingen gebruikt
worden om devices te beheren die geen updates ontvangen in de zin dat men bijvoorbeeld een ftp protocol gaat
vervangen door iets anders, of andere wijzigingen die men de laatste tijd aanbrengt (zoals het laten vervallen van
support voor Java en Flash, bijvoorbeeld, of het uitfaseren van http).

Wellicht is er wel een markt voor een browser die nog wel dit soort oude protocollen ondersteunt en die dan wel wordt
geupdate voor aanpassingen in het operating system maar niet voor wat betreft het weghalen van protocollen die niet
meer modern zijn... met name voor het beheer van lokale spullen.

De markt is natuurlijk ontzettend klein - veel te klein om een browser van levend te houden .

Maar inderdaad, het is rete irritant in de IT om voor steeds meer een 'do not update' omgeving in stand te houden met Java (hallo iLO kaarten), Flash , nu ook FTP , SSH-met-DES voor lang levende embedded devices.
20-10-2021, 17:19 door [Account Verwijderd] - Bijgewerkt: 20-10-2021, 17:20
...
20-10-2021, 20:20 door Anoniem
Door Anoniem:
De markt is natuurlijk ontzettend klein - veel te klein om een browser van levend te houden .

Maar inderdaad, het is rete irritant in de IT om voor steeds meer een 'do not update' omgeving in stand te houden met Java (hallo iLO kaarten), Flash , nu ook FTP , SSH-met-DES voor lang levende embedded devices.

Ja precies dat bedoel ik. Remote console features die Java nodig hebben, firmware update procedures die FTP gebruiken,
enz enz. En moderne devices hebben dan wel een workaround maar de wat oudere spullen, ZELFS als ze nog
ondersteund worden met security updates, krijgen lang niet altijd de updates voor moderne protocollen.

Wat we dus nodig hebben is een browser die dat allemaal wel gewoon blijft kunnen, en dat is in de praktijk niet handig
mogelijk met een "oude versie van een browser ergens aan de zijkant geinstalleerd", dat moet eigenlijk gewoon een
browser zijn die gewoon geupdate wordt maar waar niet zo'n raar beheerteam achter zit wat met trots meldt dat ze
FTP uit de source verwijderd hebben. Zet er dan een aan/uit schakelaar op in de voor de techneut bereikbare preferences.
20-10-2021, 20:23 door Anoniem
Door Anoniem: @ Anoniem van 15:34,

Wat denk je in dit verband van Chameleon?

Ik heb dat geloof ik wel eens geprobeerd toen Java niet meer werkte in Firefox enzo, maar ik kreeg dat daar toen ook
niet in werkend. Bovendien bedoel ik eigenlijk niet "een browser die stil is komen te staan in ontwikkeling voor het moment
dat deze ellende nog niet begonnen was".
20-10-2021, 21:38 door Anoniem
21-10-2021, 13:59 door [Account Verwijderd]
Daar is tegenwoordig een Chrom(e|ium) extension voor:

Chrome store: https://chrome.google.com/webstore/detail/sftp-client/jajcoljhdglkjpfefjkgiohbhnkkmipm?hl=en-GB
Vendor site: https://purpleio.uk/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.