Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 73, views: 16.676 •

Firefox gaat plug-ins, met uitzondering van de recentste versie van Flash, niet meer automatisch laden. Wie een plug-in wil activeren, moet er bewust op klikken. Dat moet het bezoeken van websites veiliger en de browser stabieler maken.

Michael Coates, director of security assurance bij Mozilla, maakt de verandering bekend op het Mozilla-weblog. Met welke Firefox-versie de verandering ingaat, is nog niet duidelijk, maar wat dit gaat betekenen voor plug-ins is al wel zeker. Voortaan zal een plug-in enkel worden geladen als een gebruiker erop klikt. Een uitzondering wordt gemaakt voor Flash, maar alleen als een gebruiker over de recentste versie beschikt.

De transitie wordt in twee stappen gemaakt. In eerste instantie worden oude Flash-versies geblokkeerd; dat gebeurt nu al met onveilige versies van bepaalde plug-ins. De tweede stap is dat voor alle plug-ins behalve Flash zal moeten worden geklikt om de plug-in te activeren. Dat geldt dus ook voor de recentste versies van plug-ins als Silverlight, Adobe Reader en Java. Extensies, zoals Ghostery en de Web Developer Toolbar, worden ongemoeid gelaten.

Het niet automatisch laden van plug-ins heeft veel voordelen, aldus Coates. Een groot voordeel is dat gebruikers minder kwetsbaar worden voor beveiligingsproblemen. Veel exploit kits, zoals BlackHole, gebruiken beveiligingsproblemen in plug-ins als Java om ongemerkt malafide software te installeren. De plug-in wordt dan ongemerkt geladen, vaak zonder dat een gebruiker het merkt. Dat kan straks in Firefox dus niet meer.

Een ander voordeel is dat de browser stabieler wordt, claimt de security-chef van Mozilla. "Slecht ontworpen plug-ins van derden zijn de belangrijkste oorzaak van Firefox-crashes", schrijft hij in zijn blog. Ook leggen plug-ins beslag op een groot deel van het geheugen en kunnen er onderbrekingen optreden tijdens het surfen als de plug-in wordt geladen.

Firefox -- click to play

Reacties (73)

Dat is dus onveiliger! Ik wil mijn Adblock, Ghostery en Noscript altijd hebben draaien, voor duidelijke redenen.
Ik snap juist niet waarom ze de flashplugin nou wel standaard laden... Dat is juist de enige plugin die ik standaard uit zet met flashblock: flash zorgt bij mij juist voor een slechte ervaring...
Dat zijn add-ons/extensions, niet plugins.
Dat zijn extensies, geen plugins.
Dat zijn Extensions en geen Plugins, daar zit een verschil in. De Extensions zullen dus wel automatisch laden.

Ontopic: ik vind het een goede zaak, al hoewel het voor een leek misschien irritant is om steeds ie aan te klikken (zonder te lezen uiteraard). Ik heb de meeste plugins sowieso disabled of gedeinstalleerd.

Edit voor Erwin537: Ik bedoelde eerder dat een leek al sneller gefrustreerd raakt omdat de persoon niet snapt waarom die extra moet klikken (<--irritatie). Uiteraard kan het voor iedereen irritant worden, maar goed ik heb er vrede mee.

[Reactie gewijzigd door JerX op 30 januari 2013 11:37]

Hmm, ik snap dat het voor de gemiddelde gebruiker veilig is, maar ik kan me toch niet aan de indruk onttrekken dat die gemiddelde gebruiker ook horendol zal worden van elke keer op een activate knopje te moeten drukken om een plugin te activeren.. Ik voorzie een overstap richting Chrome (or dare I say it: Internet Explorer)
Ehm... volgens mij snap je het niet helemaal. Het gaat hier om plug-ins, zoals flash, java en silverlight. En dus niet om add-ons zoals toolbars, ad blockers en dergelijke.
Flash standaard, en Silverlight niet? Bullocks... Silverlight wordt veel meer gebruikt bij LOB applicaties. Nu moeten we weer een extra stap uitleggen aan de klanten.

Ofwel alles click to play, ofwel niets.
Leren lezen kan helpen. Het gaat hier over plug-ins, niet over extensies.
In essentie gaat Firefox dus doen wat NoScript en dergelijke al jaren doen, maar dan met iets minder functionaliteit aangezien je (althans volgens wat ik hier kan lezen) geen volledige domeinen kan goedkeuren om plug-ins te draaien.

Dit lijkt me in elk geval een goede beslissing. Flash wordt nu nog regelmatig als een soort bewegende achtergrond gebruikt, waardoor het te lastig zou worden voor gebruikers als deze telkens opnieuw het Flash-object moeten aanklikken om het weer te geven.

EDIT: dit was een reactie op het eerste bericht, blijkbaar typ ik trager dan de rest...

[Reactie gewijzigd door Glodenox op 30 januari 2013 11:04]

Hmm, ik snap dat het voor de gemiddelde gebruiker veilig is, maar ik kan me toch niet aan de indruk onttrekken dat die gemiddelde gebruiker ook horendol zal worden van elke keer op een activate knopje te moeten drukken om een plugin te activeren.. Ik voorzie een overstap richting Chrome (or dare I say it: Internet Explorer)
Buiten Flash om: welke plugins worden tegenwoordig nog op grote schaal gebruikt? Java is op enkele uitzonderingen na dood op het gebied van web applets en wordt nu standaard al uitgeschakeld. Silverlight heeft ook geen populariteit gehaald (sites die het ondersteunen hebben doorgaans ook ondersteuning voor Flash).

Overigens zullen systeembeheerders waarschijnlijk de click-to-play ook kunnen uitschakelen via about:config, voor die zakelijke omgevingen waar gebruikers een heisa maken over de kleinste wijziging. ;)

[Reactie gewijzigd door The Zep Man op 30 januari 2013 10:04]

Zeker een goede zaak. Eerst dacht ik dat AdBlock niet meer geladen zou worden, maar gelukkig is dat een extensie en wordt die dus wel geladen.

Van plugins maak ik geen gebruik, maar ik verwacht weinig klachten.
Ja inderdaad, ik dacht goeie actie! Maar op deze manier blijft flashblock dus nog steeds nodig. Hopelijk gaan ze hier een instelling van maken, dan kan er weer een extensie uit!
Ik ga toch echt niet iedere keer dat ik firefox opstart aanklikken welke plugins ik ga gebruiken!
Lijkt mijn geen handige zet van Firefox ....bummer!! |:(

[Reactie gewijzigd door BUR op 30 januari 2013 10:04]

Ik ben bang dat ik daar ook zo over denk, tenzij er een mogelijkheid is om toch er voor te kiezen om bepaalde plugins automatisch te laten laden.

Zelfde vind ik met de ongein met de meest recente Flash plugin, het is niet de eerste keer dat ik kies voor een iets oudere versie van Flash te draaien omdat er iets borked is in de meest recente versie. Ik moet er niet aan denken dat als er opeens een nieuwe versie van Flash is dat klanten moeten gaan klikken om Flash geactiveerd te krijgen in de browser, totdat we de maandelijkse update ronde draaien...

Ik vind het werkelijk prachtig als we nieuwe optionele features in Firefox krijgen, maar de huidige manier van denken bij de FF devs is "Wij bepalen hoe jij je browser gebruikt." en dat was juist waarom ik ben weggegaan bij andere browsers...
Ik kan het nergens vinden, maar ik hoop dat men een optie krijgt zoals FlashBlock (de addon/extensie) al kent: 'always allow plugin on this site'. Een soort whitelist dus.
Zoals altijd bij Mozilla zal deze verandering vast weer ongedaan te maken zijn. Ik vind het in elk geval een goede stap, omdat veel plug-ins die je hebt maar weinig gebruikt worden. Java heb ik overigens niet eens ge´nstalleerd om een heel aantal goede redenen. De enige plug-in die ik vaak gebruik is Flash en die wordt sowieso toegestaan als het de recenste versie is. Als ik verder in mijn plug-in lijst kijk zie ik maar weinig andere plug-ins die ik bij mijn weten gebruik.

Het is overigens al mogelijk om deze 'click-to-play'-functionaliteit in te schakelen, zie bijvoorbeeld het Firefox-topic op GoT. Ik verwacht dat het op dezelfde manier ook mogelijk is het weer uit te schakelen, als dit eenmaal standaard aangezet wordt in Firefox.

Er is trouwens, zoals een aantal mensen hierboven al aangeven, een verschil tussen plug-ins en extensies. De uitbreidingen die je aan Firefox kunt doen worden gebundeld onder de naam 'Add-ons' (die ook in het menu te vinden is). De add-ons vallen uiteen in een aantal onderdelen, waaronder dus Extensies (toevoegingen aan de browser zelf, zoals Adblock) en Plug-ins, die op websites worden gebruikt (zoals Flash, Java en Silverlight). Dat verschil maakt Mozilla niet altijd even duidelijk en daarom ontstaat er bij dit soort nieuwsberichten vaak enige verwarring.

[Reactie gewijzigd door Chris7 op 30 januari 2013 10:12]

neehee, alleen als jij naar een site surft die gebruik wil maken van een plugin, kan je kiezen om die dus in te schakelen of niet.
Uitzending Gemist gebruikt standaard Silverlight, geloof ik. Je kunt hem wel op Flash zetten, maar de meeste mensen doen dat uiteraard niet. Maar goed, het is ook niet erg om 1x extra te klikken voor een televisieprogramma. Voor elk kort Youtubefilmpje daarentegen is het wel irritant. Ik hoop in elk geval dat er een optie in Firefox zal zitten om het plug-ins wÚl automatisch af te spelen voor degenen die dat willen.
Zou dit niet via een onderdeel in opties zijn aan/uit te zetten?
Zo niet gelijk een mooie functie om in te gaan bouwen...
Mee eens: ik zit al een hele tijd op FF 15 omdat ze "tabs on top" schijnbaar verplicht stellen vanaf versie 16. Het zou kunnen dat je weer een add-on hebt om dat ongedaan te maken, maar waarom zou ik updaten als het weer een hele heisa is om mijn browser zo te krijgen als ik het wel? Firefox is nog steeds de enige voor mij, maar haar nukkige zucht naar nieuwe dingen begint me wel een beetje te irriteren...

Op dit item kan niet meer gereageerd worden.