Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 26, views: 12.959 •

De Chrome-ontwikkelaars hebben aangekondigd dat de opensource-browser van Google in toekomstige versies verouderde plug-ins automatisch zal uitschakelen. Hierdoor moet de kans op malwarebesmettingen verder worden ingedamd.

Google heeft bij de ontwikkeling van Chrome al een aantal stappen gezet die de veiligheid moeten verhogen, waaronder de integratie van een zichzelf updatende Flash-plug-in en een interne pdf-lezer die binnen een sandbox draait. Ook is het mogelijk om plug-ins individueel uit te schakelen of nieuwe plug-ins alleen toe te laten vanaf domeinen die door de gebruiker zijn ingevoerd.

Volgens Google zijn de aanpassingen aan het plug-in-model van Chrome nodig omdat malwareverspreiders steeds vaker een systeem proberen te besmetten via kwetsbaarheden in browserplug-ins. In de hoop het veiligheidsniveau van Chrome verder op te krikken willen de ontwikkelaars dat de browser verouderde plug-ins automatisch uitschakelt. Ook moet er in toekomstige Chrome-versies een update-dialoog verschijnen om plug-ins eenvoudig te updaten.

Daarnaast zou Chrome een waarschuwing moeten tonen als een plug-in wordt aangeroepen die vrijwel nooit wordt gebruikt. Dit zou nodig zijn omdat dergelijke plug-ins potentieel verdacht zouden zijn. Verder werkt Google samen met Mozilla aan het Pepper-project, een api die het eenvoudiger moet maken om plug-ins in een sandbox-omgeving te laten draaien.

Reacties (26)

Ik denk dat dit wel een goede oplossing is. Goede plugins zullen toch wel vaak geupdate worden. Dus dit ruimt zichzelf wel netjes op.
Vaak werken oude plugins nog gewoon goed, waarom niet uitschakelen wanneer ze oud zijn en niet meer goed werken ipv meteen uitschakelen.
Ik denk eerder dat google alleen de plugins uitschakelt als de plugin een x aantal versies achterloopt.

edit:
Of als deze ontwikkeld is voor een verouderde versie van Chrome. De plugin zelf hoeft dat niet wat code betreft bijgewerkt te worden, maar er hoeft bijvoorbeeld alleen maar aangegeven te worden dat die ook werkt met de nieuwste versie van Chrome.

[Reactie gewijzigd door Daeron op 30 juni 2010 17:43]

Omdat ze zelfs een risico kunnen zijn als ze wel goed werken! Kijk bijvoorbeeld naar Flash, werkt prima (althans bij mij) maar er worden toch bugs in gevonden waarmee een hacker naar binnen zou kunnen. Ik vind wel dat de gebruiker uiteindelijk zelf moet beslissen wat hij wel en niet veilig acht, maar een melding dat een plugin niet veilig is omdat die oud is vind ik prima.

Aan de andere kant krijg je dan weer hetzelfde als UAC van Windows Vista, iedereen drukt het weg en gaat er vanuit dat het wel goed zal zijn.

Lastigg...
Op het moment dat bijvoorbeeld een Flash-player niet meer werkte in de browser (in dit geval Chrome, maar andere browsers zouden dit idee ook over kunnen nemen), dan zal de gebruiker snel naar een update gaan zoeken.

Als men maar behoefte heeft aan de functionaliteit die door de plugin aangeboden wordt...

Aan de kant van de plugin-makers zou men verder het update proces kunnen automatiseren, zodat de gebruiker nooit met het upgrade/download probleem opgezadeld wordt. Het weigeren van oude plugins door Google Chrome is dan alleen maar een extraatje...
Aan de andere kant krijg je dan weer hetzelfde als UAC van Windows Vista, iedereen drukt het weg en gaat er vanuit dat het wel goed zal zijn.
Daarom is het, vanuit één perspectief gezien tenminste, wel goed dat Google deze stap neemt - dat deden ze al door updates zo 'non-intrusief' (of hoe ge het maar vertaalt) mogelijk te maken (= volautomagisch), maar nu dus ook door oude en mogelijk onveilige addons automagisch uit te zetten.
Het is schandalig! Ik wil zelf kunnen beslissen welke plug-ins ik weiger, dat hoeft google niet voor me te beslissen!
Eigen browser maken? Kun je ALLES beslissen...
Mooi antwoord! Moet ik onthouden als men nog eens kritiek heeft op de strategie van Apple ;)
Waardeloos antwoord juist! Hebben wij als consument de benodigde kapitaal en arbeidskracht om een dergelijk Apple product na te maken? Nope...
Als je het zelf niet kan, moet je niet zeuren. Als ik iets maak, bepaal IK en niemand anders hoe ik dat maak. Aan de rest van de wereld om het al dan niet te gebruiken.
Slimme zet van Google. Ik hoop dat firefox ook met zoiets op de proppen komt, ik vind FF zelf fijner werken dan Chrome nl.
Zoiets bestaat al lang bij FF hoor, nooit geprobeerd oudere plugins te installeren? Zolang ze niet compatibel zijn met de FF versie worden ze uitgeschakeld of kunnen ze niet geïnstalleerd worden.
Ja maar dat heeft niks met veiligheid te maken met met compatablily ;)
Compatabiliteit wordt in deze vaak gebruikt als eufemisme voor veiligheid.
Waar jij op doelt zijn de browser add-ons van Firefox (Fx*). Als je probeert om incompatible Fx add-ons te installeren dan worden deze inderdaad geweigerd, de add-on-auteur moet zelf actief de add-on compatible met deze versie van Fx verklaren - uiteraard gaat men er bij Mozilla van uit dat er dan ook een controle plaatsgevonden heeft door de auteur dat de add-on ook nog goed werkt onder deze nieuwe versie.

De reden voor deze controle op add-on-compatibiliteit is, dat er op het gebied van non-frozen API's nogal wat kan wijzigen tussen de major releases van Fx. Iets dat onder Fx 1.5 nog goed werkte kan onder Fx 2.0 helemaal niet meer beschikbaar zijn. Of iets dan is Fx 3.0 nog een bepaalde aanroep nodig had kan in Fx 3.5 net een klein beetje anders werken waardoor de add-on de API-call net een klein beetje anders moet implementeren.

Wat Google Chrome nu echter zal gaan doen, dat is het actief blokkeren van browser plug-ins (dus ms-silverlight, Oracle/Sun Java, Adobe Flash/PDF), als er veiligheidslekken zitten in de gebruikte (en verouderde) versie van de plug-in. Over het algemeen zal dit geen probleem opleveren, als er maar nieuwere versies van de plugin zijn. Op het moment dat er echter geen nieuwe versie is kan de gebruiker geïrriteerd raken en mogelijk van Google Chrome afstappen - of het dus een erg slimme zet is, dat is de vraag.

*: Zie antwoord 8

[Reactie gewijzigd door Little Penguin op 30 juni 2010 18:56]

Volgens mij doet Firefox dat ook al, ik heb ooit wel eens een dialoog gekregen over Java, dat door Firefox uitgeschakeld was wegens "bekende veiligheidslekken".
Hm, ja - nu je het zegt. Even zoeken op internet en ik vond inderdaad de volgende pagina hierover: https://support.mozilla.com/en-US/kb/Add-ons+Blocklist

Ik meende dat dit echter een gehele extentie blokkeerde, maar als ik zo kijk dan zie ik dat men het wel degelijk op versienummer doet, ook zie ik dat men wel degelijk
extenties, thema'ss, and plugins kan blokkeren. Wat Google hier gaat doen is dus niet nieuw, hooguit wat agressiever dan Mozilla het doet.

(In het verleden heeft men zo ook bijvoorbeeld een lekke ms-wpf plugin geblokkeerd - nu je de optie noemt herinner ik me dit weer :z )
ik zou het liever niet zien. ik gebruik een aantal oudere plug-ins omdat de nieuwere versies veranderingen hebben die mij niet bevallen.
Inderdaad een prima zet van Google, je kunt niet alle plugins blijven ondersteunen.. Een plugin is tegen software aangebouwd, en niet andersom. Als ontwikkelaars dit nodig achten kunnen ze hun plugin updaten, dat kunnen ze van te voren weten :)
Daarnaast zou Chrome een waarschuwing moeten tonen als een plug-in wordt aangeroepen die vrijwel nooit wordt gebruikt. Dit zou nodig zijn omdat dergelijke plug-ins potentieel verdacht zouden zijn.
Ik vind een flashplugin die dagelijks gebruikt wordt toch een stuk verdachter dan bijv de xpath plugin die ik 1x per kwartaal gebruik. Gelukkig is flash dan gedekt met automatische updates, maar bijvoorbeeld java niet.

Klinkt verder erg goed. Vroeger gaf ik familieleden nog wel eens firefox. Maar als ze 'm dan nooit updaten, is ie nog minder veilig dan IE. Dan is de auto-update van chrome een hele uitkomst. En dan hoor ik vanzelf mensen klagen als hun favoriete plugin het opeens niet meer doet.

[Reactie gewijzigd door uid0 op 30 juni 2010 18:25]

Ik denk dat een automatische blokkering van "oude" plugins onwenselijk is omdat het nogal eens gebeurd dat een plugin al enige tijd verouderd is (lees: niet meer geüpdate is) maar nog wel prima werkt. En soms is het zelfs zo dat het de enige plugin is met die functionaliteit en er simpelweg geen alternatief is.

Een betere oplossing zou dan een blacklist zijn, waarin plugins worden opgenomen waarvan met weet dat er eventueel veiligheidsproblemen mee zijn. Die worden dan geblokkeerd omdat het anders problemen kan veroorzaken.

Sowieso vind ik dat de gebruiker de optie moet krijgen om alsnog een plugin te gebruiken, ookal is deze te oud of "geblacklist" (hoewel de standaardactie "blokkeren" is, natuurlijk). Verstandige gebruikers kunnen zelf wel kiezen of ze een plugin kunnen of willen gebruiken, ondanks eventuele lekken.
Feitelijk is dit ook een black-list, want dat is de enige manier waarop je de verouderde plugin kunt blokkeren - behalve alles blokkeren en een whitelist aanhouden dan.

Aangezien alleen vanuit de serverkant (dus door mensen) geweten kan worden of er een nieuwe plugin out is, danwel of de bestaande een kritisch veiligheidslek heeft, zal het nooit zo zijn dat een iets oudere versie automatisch geblokkeerd gaat worden.
Is de nieuwste altijd de beste beschikbare versie?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013