Mozilla sender Java, Adobe Reader, Flash og Silverlight i skammekrogen

31. januar 2013 kl. 15:516
Fremover vil browseren Firefox som standard blokere for en række udvidelser, bortset fra den nyeste udgave af Flash. Brugerne skal aktivt vælge at køre indholdet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er ikke en ny opfindelse at bede brugeren om tilladelse til at køre for eksempel en Java-applet. Men nu tager Mozilla Click to Play-princippet til nye højder: I fremtiden vil kun den nyeste udgave af Flash få lov at køre i browseren Firefox – resten kræver et klik fra brugeren.

Sådan skriver Michael Coates fra Mozilla i et blogindlæg. Her gennemgår han problemerne med de efterhånden mange forskellige udvidelser, en browser hurtigt bliver udstyret med: De trækker hastigheden ned, crasher browseren og åbner for et væld af sikkerhedsproblemer.

Derfor vil fremtidens Firefox som standard blokere for de fleste udvidelser: Java, Adobe Reader, Silverlight og andre. Kun Flash, der stadig er i brug på en hel del hjemmesider, trods Steve Jobs berømte korstog mod teknologien, får lov som standard at køre, hvis altså det er den nyeste og mest sikre version, der er installeret.

Netop brugen af Java har været heftigt debatteret på det seneste, fordi sikkerhedshuller, som Oracle ikke havde en lapning klar til, begyndte at florere. De fleste udenlandske computerbrugere kunne følge rådet om at fjerne Java helt fra browserne, da teknologien efterhånden sjældent er i brug på nettet, men danskerne er på grund af NemID låst fast til Java – i hvert fald indtil en ny variant af NemID, baseret på Javascript, ser dagens lys om måske et års tid.

Artiklen fortsætter efter annoncen

Google har med browseren Chrome taget en anden vej og sørger for at indbygge Flash og firmaets egen PDF-læser. Dermed kan Google sikre, at de altid er opdaterede. Microsoft har nu også valgt den løsning og har med den nye Internet Explorer 10 i Windows 8 indbygget en Flash-afspiller.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
1. februar 2013 kl. 17:43

Man nemt kan klikke sig forbi en advarsel så er det samme som ingen sikkerhed.

"I fremtiden vil kun den nyeste udgave af Flash få lov at køre i browseren Firefox – resten kræver et klik fra brugeren."

Fail med fail ovenpå...

Og det er godt nok patetisk at "forkæmperen" for åbne webstandarter giver flash fripas.

Og hvordan gør de så når nyeste version af flash ikke er sikker ?

Og hvordan får de information om nyeste sikre version af flash ud til brugeren ?

Et tiltag der gør brugeren mere sikker er et system der automatisk blokere for et plugin når det overskrider et vist sårbarheds niveau. Så som Apples minimum safe plugin version list.

Der i øvrigt her sendt java til tælling igen... Og dermed sikret at safari brugere på Mac OS X, for som det er beskrevet er java stadig ikke sikker selv med High Security setting og version 1.7.11

Det er dog muligt at benytte java med Firefox men det er åbentlyst ikke sikkert at gøre det. Og dermed opstår så en path of least resistance to doing something not smart...

Tiderne har vist at så længe der kun er et dumt klick mellem brugere og at de bliver hacket så trykker de fleste "JA" og kommer usikkert videre i teksten...

Så det eneste der virker der er et centralt godkendelses system der kan blokere for usikker software uden bruger interaktion.

Det er så plugin leverandørens opgave at rette deres software.

Og ja det er muligt at lave alle mulige cowboy ninja tricks for at være sikker men de er bare ikke praktiske nok til at det betyder noget for de fleste brugere.

1
31. januar 2013 kl. 16:29

Chrome's indbyggede flash handler jo lige så meget om, at den kommer ind i beskyttelse af chrome's sandbox som at den er opdateret. Så vidt jeg husker blokerer chrome som default også automatisk kørsel af java. Jeg har også selv deaktiveret alle plugins i chrome så de kræver aktiv handling for at køre, kan kun anbefales, hvis man ønsker stabilitet og sikkerhed.. GOdt at se firefox tage dette til sig.

3
31. januar 2013 kl. 22:46

Men hvorfor er det lige at det er nødvendigt at kunne vise et pdf-dokument i en browser via et plugin, når man alligevel har installeret Adobe Reader til selv samme formål...

2
31. januar 2013 kl. 20:06

Jeg kan ikke se de gode ved at vi er så dårlige til at skrive software at vi er nød til at flytte sikkerheds ansvaret til brugerne.