Mozilla sender Java, Adobe Reader, Flash og Silverlight i skammekrogen
Det er ikke en ny opfindelse at bede brugeren om tilladelse til at køre for eksempel en Java-applet. Men nu tager Mozilla Click to Play-princippet til nye højder: I fremtiden vil kun den nyeste udgave af Flash få lov at køre i browseren Firefox – resten kræver et klik fra brugeren.
Sådan skriver Michael Coates fra Mozilla i et blogindlæg. Her gennemgår han problemerne med de efterhånden mange forskellige udvidelser, en browser hurtigt bliver udstyret med: De trækker hastigheden ned, crasher browseren og åbner for et væld af sikkerhedsproblemer.
Derfor vil fremtidens Firefox som standard blokere for de fleste udvidelser: Java, Adobe Reader, Silverlight og andre. Kun Flash, der stadig er i brug på en hel del hjemmesider, trods Steve Jobs berømte korstog mod teknologien, får lov som standard at køre, hvis altså det er den nyeste og mest sikre version, der er installeret.
Netop brugen af Java har været heftigt debatteret på det seneste, fordi sikkerhedshuller, som Oracle ikke havde en lapning klar til, begyndte at florere. De fleste udenlandske computerbrugere kunne følge rådet om at fjerne Java helt fra browserne, da teknologien efterhånden sjældent er i brug på nettet, men danskerne er på grund af NemID låst fast til Java – i hvert fald indtil en ny variant af NemID, baseret på Javascript, ser dagens lys om måske et års tid.
Google har med browseren Chrome taget en anden vej og sørger for at indbygge Flash og firmaets egen PDF-læser. Dermed kan Google sikre, at de altid er opdaterede. Microsoft har nu også valgt den løsning og har med den nye Internet Explorer 10 i Windows 8 indbygget en Flash-afspiller.
Kommentarer (6)
Chrome's indbyggede flash handler jo lige så meget om, at den kommer ind i beskyttelse af chrome's sandbox som at den er opdateret. Så vidt jeg husker blokerer chrome som default også automatisk kørsel af java. Jeg har også selv deaktiveret alle plugins i chrome så de kræver aktiv handling for at køre, kan kun anbefales, hvis man ønsker stabilitet og sikkerhed.. GOdt at se firefox tage dette til sig.
-
4 -
0
Jeg kan ikke se de gode ved at vi er så dårlige til at skrive software at vi er nød til at flytte sikkerheds ansvaret til brugerne.
-
5
-
0
Men hvorfor er det lige at det er nødvendigt at kunne vise et pdf-dokument i en browser via et plugin, når man alligevel har installeret Adobe Reader til selv samme formål...
-
0
-
3
Men hvorfor er det lige at det er nødvendigt at kunne vise et pdf-dokument i en browser via et plugin, når man alligevel har installeret Adobe Reader til selv samme formål...
Fordi det ikke er sikkert at man gider fylde 50MB crap fra Adobe på en maskine, for at gøre det samme som en PDF læser på 1MB kan gøre elegantere.
-
7
-
0
Jeg kan ikke se de gode ved at vi er så dårlige til at skrive software at vi er nød til at flytte sikkerheds ansvaret til brugerne.
Chrome selv er tilsyneladende ret sikker, og Google tager sikkerhed seriøst. I stedet for at skrive "vi er så dårlige til at skrive software" så skriv "Oracle og Adobe er så dårlige til at skrive software".
-
0
-
0
Man nemt kan klikke sig forbi en advarsel så er det samme som ingen sikkerhed.
"I fremtiden vil kun den nyeste udgave af Flash få lov at køre i browseren Firefox – resten kræver et klik fra brugeren."
Fail med fail ovenpå...
Og det er godt nok patetisk at "forkæmperen" for åbne webstandarter giver flash fripas.
Og hvordan gør de så når nyeste version af flash ikke er sikker ?
Og hvordan får de information om nyeste sikre version af flash ud til brugeren ?
Et tiltag der gør brugeren mere sikker er et system der automatisk blokere for et plugin når det overskrider et vist sårbarheds niveau. Så som Apples minimum safe plugin version list.
Der i øvrigt her sendt java til tælling igen... Og dermed sikret at safari brugere på Mac OS X, for som det er beskrevet er java stadig ikke sikker selv med High Security setting og version 1.7.11
Det er dog muligt at benytte java med Firefox men det er åbentlyst ikke sikkert at gøre det. Og dermed opstår så en path of least resistance to doing something not smart...
Tiderne har vist at så længe der kun er et dumt klick mellem brugere og at de bliver hacket så trykker de fleste "JA" og kommer usikkert videre i teksten...
Så det eneste der virker der er et centralt godkendelses system der kan blokere for usikker software uden bruger interaktion.
Det er så plugin leverandørens opgave at rette deres software.
Og ja det er muligt at lave alle mulige cowboy ninja tricks for at være sikker men de er bare ikke praktiske nok til at det betyder noget for de fleste brugere.
-
0
-
1
Tilføj kommentar
