Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 133 reacties

Een zero day-exploit die afkomstig is van het omstreden beveiligingsbedrijf Hacking Team, wordt misbruikt in minstens drie verschillende exploit-kits. De exploit is afkomstig uit de hack van Hacking Team, waarbij 400 gigabyte aan interne bestanden online werd geplaatst.

FlashBij de hack van Hacking Team, dat spionagesoftware maakt voor overheden, maakten aanvallers circa 400 gigabyte aan interne bestanden buit. Daar zit niet alleen interne e-mailcorrespondentie bij, maar ook details van beveiligingsproblemen die het omstreden bedrijf misbruikte om bijvoorbeeld malware op systemen van 'verdachten' te plaatsen.

In ieder geval een van die beveiligingsproblemen wordt in het wild misbruikt, schrijft beveiligingsonderzoeker Kafeine op het weblog Malware Don't Need Coffee. Het beveiligingsprobleem maakt het mogelijk om zelf code op een systeem uit te voeren, en werkt onder meer in Chrome op Windows.

De bug wordt op dit moment waarschijnlijk al misbruikt in drie exploit-kits: Angler, Neutrino en Nuclear. Exploit-kits kunnen worden afgenomen door kwaadwillenden om zonder al te veel moeite computers van slachtoffers met malware te injecteren. De exploit-kit doet dat met behulp van bekende beveiligingsproblemen in software, die onder meer kan worden geserveerd via geïnfecteerde advertenties. Met behulp van de exploit-kit zou onder meer adware worden geïnstalleerd, maar ook ransomware, waarbij bestanden worden versleuteld en gebruikers moeten betalen om weer bij hun bestanden te kunnen.

Het beveiligingsprobleem is een zero day, wat betekent dat er nog geen patch voorhanden is. Adobe zou van plan zijn om snel een patch uit te brengen, mogelijk woensdag of donderdag, maar op het moment van schrijven zijn gebruikers kwetsbaar. Beveiligingsbedrijf Symantec adviseert gebruikers om Flash uit te schakelen. Ook kunnen plug-ins worden geblokkeerd of click-to-play worden gemaakt.

In de 400 gigabyte aan Hacking Team-data bevinden zich nog meer beveiligingsproblemen. Volgens beveiligingsonderzoeker Yonathan Klijnsma gaat het onder meer om een bug in SELinux onder Android. Ook zou er een exploit in een bug voor Windows aanwezig zijn die kwaadwillenden met toegang tot een systeem hogere gebruikersrechten laat krijgen. Het is echter onduidelijk of dat een ongepatcht probleem is. Aangezien het om maar liefst 400 gigabyte aan bestanden gaat, is de kans groot dat er nog meer, momenteel nog niet ontdekte beveiligingsproblemen aanwezig zijn.

Update, 15:08: Inmiddels is de bug geplet, bevestigt beveiligingsonderoeker Kafeine tegenover SecurityWeek.

Lees meer over

Gerelateerde content

Alle gerelateerde content (22)
Moderatie-faq Wijzig weergave

Reacties (133)

Zo zet je click-to-play aan voor Flash (en andere plug-ins) in Google Chrome onder Windows:
  • Instellingen
  • Knop 'Geavanceerde instellingen weergeven...'
  • Onder Privacy knop 'Instellingen voor inhoud...'
  • Onder Plug-ins kies 'Laat me kiezen wanneer de inhoud van de plug-in moet worden uitgevoerd'
De click-to-play werkt dan zo: https://drive.google.com/...bnd3dmc/edit?usp=drivesdk

[Reactie gewijzigd door Jelv op 8 juli 2015 10:38]

Het lijkt erop dat ik al te maken heb met de gevolgen van deze hack. Ben nu de ellende van CryptoWall 3.0 aan het fixen, waar het erop lijkt dat niemand een ongewenst attachment heeft gehad.

Dat lijkt erop te duiden dat iemand via deze Flash exploit te maken heeft gekregen met Angler, die op zijn beurt weer CryptoWall runt.

Ik hoop dat er snel een fix komt voor de exploit en ik mag hopen dat iemand Adobe (en Oracle) eens ter verantwoording kan roepen. Kan toch niet zijn dat Microsoft en de gezamenlijke anti-virus makers geen vuist kunnen maken tegen zulke slechte code. Flash, PDF en Java voeren volgens mij toch wel de boventoon in random besmettingen.
Hier is de nieuwste build te vinden die het oplost:

https://www.adobe.com/pro...player/distribution3.html
Het word tijd dat Adobe zijn bejaarde code definitief stopzet en standaard blokkeert. Ik lees de afgelopen 10 jaar niets anders dan ellende over Flash.

Geldt ook voor Java. Hef dit soort plugins op. Het werkt gewoon niet.

Ik heb alle plugins standaard geblokkeerd maar eigenlijk is dat voor een normale gebruiker bijna niet zelfstandig te doen. De oplossing moet dus van de leverancier zelf komen. Hef het product op via een update en dan is de wereld eindelijk verlost van Java en Flash.

Kleine edit:
Ik heb van het weekend net een laptop gered wegens volledig onbruikbaar. Eigenaar (vrouw, diep in de 60) had Flash niet geupdate sinds 2011 en Java was geïnstalleerd in 2013 en daarna nooit geupdate. Uitleg eigenaar: "de updates gaan altijd automatisch, ik hoef nooit wat te doen". Gevolg: 3.5k malware entries, 6 virussen en een browser die zelfstandig zijn eigen adresses invulde. Tenenkrommend de laptop gerepareerd (en nee het is niet mijn werk) waarna ik zwijgend mijn biertje heb opgedronken. Ik ga het niet eens meer uitleggen. Ik vind het verbazend dat een leverancier niet zijn eigen code durft op te heffen omdat het klip en klaar is dat de code in de basis al zwaar compromised is. Als ontwikkel team zul je elkaar moeten aankijken en je verantwoordelijkheid moeten nemen: "het werkt gewoon niet, dit was het. Einde verhaal, we gaan ons product opheffen".

[Reactie gewijzigd door drogeworst op 8 juli 2015 08:30]

Het is enigszins kortzichtig om te zeggen dat de hele boom maar ontwortelt moet worden door een paar rotte takjes. Heb je je uberhaubt ingelezen in de architectuur of blaat je maar wat aan de hand van de koppen?

Java, bijvoorbeeld, is veel meer dan de browser plugin. De desktop plugin is ook aanwezig en heeft relatief weinig problemen (natuurlijk valt of staat dat met een goed patchbeleid maar dat geld voor elk framework, OS, en runtime omgeving, point OpenSSL, .Net lekken die met een mooi KB123456-patchje worden opgelost, en zo maar door). Belangrijker is de server component, zó veel high performance data/site backends draaien gewoon op java. Tomcat zou je misschien wel bekend zijn. Maar er zijn meer manieren om een WAR te deployen. Om maar een grote JAVA gebruiker te noemen: tweakers werkt vrij intensief met java: reviews: Tweakers 7: waarom een eigen Java-back-end? -- als je consistent tegen JAVA bent, dan zou je dus Tweakers moeten blokkeren (ondanks dat er niks execute op je eigen machine).

En dan flash. HTML5 zou dé killer zijn hiervoor. Gelukkig, 6 jaar na dato, begint het er wát op te lijken (immers we hebben eindelijk het verhaal CODEC-hell wat achter ons gelaten), maar verder is het nog niet helemaal daar... webkit browsers zijn nog steeds erg koppig door webkit-tags er in te gooien, en gedeeltelijk zijn developers en designers daar schuldig aan dat ze het gebruiken ipv HTML5 naar de letter te devven. Maar goed. Video hebben we dus mogelijk eindelijk. Brengt ons naar de rest. Flash is een applicatie platform, NIET een video player. Dat je video players er in kan maken is erg goed. DRM voor alle kwaad wat het is (vind ik...) is soms een must en pragmatisch; dat begint nu pas te komen bij HTML5. En het verhaaltje performance dan? Tsja; HTML5 canvas VS Flash is min of meer gelijk. Flash as animatieplatform is doorgaans lichter en sneller dan met JS + Canvas + SWF een hele zooi uit te lopen werken... niet dat het niet kan, maar de load op je device is veel hoger. Flash is zowaar lichter voor 2D/3D animaties. WebGL is nog té jong om vooral het 3D component af te werken.

Paar jaar geleden zat ik met het grote vraagstuk: hoe krijgen we betrouwbaar files van 5gig via web-tech gepost? Het antwoord was toen (file-API was erg jong en je wilt dit soort dingen niet als base64 gaan hashen), dat Flash eigenlijk de enige manier was om het netjes en stabiel af te laten handelen, of een Java browser plugin (maar dat is weer de kant van Java waar we NIET naar toe willen gaan...). Silverlight was nóg eleganter geweest, dat is primair een applicatie platform, secundair een animatie platform (dat en de IDE is scherper, fireworks is nou niet helemaal je-van-het als je Visual Studio gewent bent). Maar helaas, geen mandaat daarvoor. Silverlight was om in te developen en op OS-en waar het op werkt om te draaien een érg mooi platform!

Tsja, nogmaals, je post is een beetje 'nujij.nl' niveau. Een ongenuanceerde mening, de opmerking dat alle plugins blokkeren voor andere gebruikers niet te doen is (onderschat mensen niet), en alles over één kam scheren in een populistische oneliner. Kijk eens verder dan je neus lang is, en ZEKER met alle problemen die HTML5 heeft/had, is de wereld niet zo zwart/wit. Java is een prachtig platform. Ik ken geen enkele andere multi-platform taal waar ik een servercomponent kan bouwen wat in-memory RD_New/EPSG28992 conversies naar WGS84 kan doen met het tempo er aan.

[Reactie gewijzigd door Umbrah op 8 juli 2015 08:33]

Ik herken de veiligheids problemen in Flash en ik ben vroeger ook Flash developer geweest.
Was altijd best leuk werk (van die reclame campagnes en alles).. zeker voor een normale programmeur, die normaal niet zo visueel bezig is.

Flash heeft momenteel een beetje vreemd positie, omdat enerzijds mensen het proberen te weren. (ik vermoed dat het relatief lastig is om er een veilig sandbox van te maken, zonder Flash's functionaliteiten zelf geheel te schrappen; vandaar dat Apple een gemakkelijker oplossing had gekozen : gewoon weghalen)

Voor mijn gevoel is het nog steeds het enige handige middel (ik negeer even dingen als Shockwave) om op een visuele manier bepaalde gegevens aan te bieden.
Het is altijd per definitie mogelijk om het op een andere manier te doen.. Java, javascript.. en dergelijke.. maar het is niet zo toereikend als Flash.

Ik zou er bijna voorstander van zijn om een universele standaard te maken voor Flash achtige zaken.. (mag dan niet flash heten, maar.. ehm. Rich interactive HTML elements ofzo?)
Gebruik hiervoor precompileerde javascript ofzo.. of gewoon standaard browser extensie
Beschreef je nou WebGL in die laatste alinea?
Ik ben in alle eerlijkheid niet meer meegegaan in de laatste ontwikkelingen (ook een ander beroep nu).
Bij WebGL begin ik meteen te denken aan rendering engines en zo.. maar.. geen idee!

Ongeveer toen Flash er een beetje uit ging door onder andere Apple.. was ik er ook mee opgehouden. (waren toevallig ook geen leuke campagnes beschikbaar op dat moment)
Mijn mening is dat je als devver zorg moet dragen voor je users. Dat betekent dat die geen third-party programs nodig moeten hebben om jouw product te kunnen gebruiken. Namelijk: als devver heb je kennis, als user doorgaans niet. En ik ken mijn pappenheimers.

Jouw verhaal is mij bekend, omdat ik in jouw wereld bekend ben.

Maar 90% van Nederland, of laat staan de wereld is dat niet. Mijn betoog slaat dus op je verantwoordelijkheid nemen als devver/programmeur voor je product. Geldt voor al je genoemde voorbeelden, van OS tot plugin.
Dat klinkt als een utopie, als jij een feature moet maken die niet kan zonder 3rd party plugins als bijvoorbeeld flash...wat dan? Ga je jouw opdrachtgever maar vertellen dat je het niet gaat maken omdat je persoonlijk een hekel hebt aan die plugin? Zo ga je nog veel geld mislopen ;)
Nee het probleem is niet dat het niet anders kan, maar dat het niet anders goedkoop kan en de meeste developers hun kennis zeer beperkt is en niet langer echt kunnen programmeren maar er maar op los scripten.

[Reactie gewijzigd door klakkie.57th op 8 juli 2015 15:40]

Tot op op zekere hoogte mee eens maar sommige dingen kunnen simpelweg niet cross browser zonder plugins.
Mijn mening is dat je als devver zorg moet dragen voor je users. Dat betekent dat die geen third-party programs nodig moeten hebben om jouw product te kunnen gebruiken.
Dus jij maakt als 'devver' je eigen runtimes (je bouwt ze ook niet in), drivers, operating system etc?

Dat is zeer indrukwekkend.
+1 Denk mee met de user en niet als pur-sang devver!

Kunnen we zonder Frontend Java? Nee, want daarvoor is de userbase te groot!
Is er een alternatief voor Java? Eindelijk begint HTML5 volwassen te worden.
Kunnen we zonder Java? Kijk eens naar iOS en OSX. Het kan wel maar men wilt niet.

Of Frontend Java volledig verdwijnt is een andere vraag. Echter moeten we ons realiseren dat Java altijd al een target was voor hackers door de vele mogelijkheden het te misbruiken.
Het is enigszins kortzichtig om te zeggen dat de hele boom maar ontwortelt moet worden door een paar rotte takjes
Helaas is het probleem in Java niet, die paar rotte takjes, maar die rotte wortels die steeds rotte takjes aanmaken. Als je bijhoudt hoeveel patches er continu voor Java uitkomen dan merk je dat de patches niet verminderen. Dit betekent, voor mij, dat het product, na zoveel jaren, nog steeds niet veilig is.

Laten we duidelijk zijn enerzijds werkt Java prima, wordt wereldwijd gebruikt maar anderzijds zit Java vol lekken en die lekken worden wereldwijd ook prima benut.

De backend van Java heeft weinig problemen omdat deze, als het goed is meervoudig beschermd is met vuurmuren en andere, maar dat betekent niet dat ze een prima target zijn voor hackers.

De Frontend van Java zit daarentegen in de vuurlinie en is steeds onder aanval.
Je kan de verantwoordlijkheid dus maar deels op de gebruikers afschuiven.

[Reactie gewijzigd door kwakzalver op 8 juli 2015 09:40]

Een groot ander probleem is dit: die onder meer kan worden geserveerd via geïnfecteerde advertenties
Reden dus om vooral adblockers te gebruiken om malware via advertenties buiten de deur te houden. Schijnbaar zijn deze advertentienetwerken nog steeds niet in staan viruscontroles uit te oefenen en kan zo malware zijn weg vingen. Advertenties zijn dus nog steeds een zwakke schakel.
Het is tenen krommend om hier te lezen dat de meesten het verschil tussen Java, Java web applets en dingens als JSP niet weten maar er wel over beginnen.

Er is weinig mis met Java maar zet die applet plug-ins uit in de browser.
Het zou flink schelen als Oracle niet standaard de plugin zou installeren bij java installatie.
De beweging zit hem meer in het niet meer noodzakelijk maken de runtime te installeren voor enkel client applicaties, maar om een gelimiteerde runtime te bundelen met de daadwerkelijke applicatie. met name Java 9 gaat daar wat meters maken vanuit de runtime zelf.

Als je nu puur als desktop gebruiker een runtime installeert via java.com dan wil je blijkbaar nog applets kunnen draaien, voor welke reden dan ook. Anders heb je eigenlijk weinig met Java te maken - terecht ook. Tenzij je natuurlijk je hobbie van gal spuwen wilt blijven uitoefenen.
Niet perse.
Er zijn ook verschillende desktop-applicaties (ook spellen!) die de java-runtime vereisen.
Geen enkele reden om dan ook direct automatisch de webplugin te moeten installeren.
Oh, maar ik zeg ook nergens javascript/java. Hooguit om silverlight/java/flash over te bouwen náár javascript! Nogmaals: ik haal dit niet door elkaar. Sommige mensen wel. En ja: javascript blokken (100%) is óók goed voor de veiligheid.
Javascript is iets totaal anders dan Java applets die in een browser draaien, en veel Silverlight / Java / Flash content kan niet zomaar omgebouwd worden naar Javascript, dit is een veel voorkomende missconceptie, die frameworks doen namelijk een stuk meer dan animaties en formuliertjes, "HTML5" is in de verste verte nog niet in de buurt gekomen van die 3, en dat is ook nooit echt het doel geweest, is alleen wat marketing mensen wereldwijd ervan maken.
Heel veel wat je verteld tussen flash en Html5 is bullshit.

Als een ding efficiënter is dan is het webgl + canvas wel in vergelijking met flash,

Ooit gehoord van animationFrame()
Flash gaat zoveel efficienter om met complexe vectorafbeeldingen, dat je daarin dingen kunt doen die totaal onmogelijk zijn met de alternatieven. De browser loopt dan helemaal vast. Dat verschil zal blijven bestaan vrees ik.

En ondanks alle gif die er over Flash uitgekotst wordt - het is een prachtige techniek!
Kan me prima vinden in drogeworst zijn reactie;

als ontwikkelaar/uitgever of aanbieder van dienst, mag en kun je er niet op vertrouwen dan jouw bezoekers de kennis en kunde hebben om hun systeem up to date te houden.

met dat in het achterhoofd kan ik me prima vinden in zijn reactie. vermijdt iedere vorm van afhankelijkheid van 3th party plugins en software bij de client.

om die rede biedt ik het ook niet aan bij mijn klanten, en is er slechts 1 machine in de orgainstie uitgerust waarop die ranzige meuk beschikbaar is.

Men heeft het hier ook over de client-side, niet over hoe fancy en high-performance de backend draait.
Ja, maar kun je dan niet stellen dat HTML5 op zekere hoogte third party is? Ik ben het er mee eens overig, als ik iets nieuws moet bouwen, zal ik nooit front-end Java gaan gebruiken (uiteraard wel back-end...), en Flash? Misschien voor niveautje weeble & bob, maar verder ook niet. Silverlight zal ik zelfs actief afraden en commerciëel als een kans zien om de applicatie naar HTML5 te converteren.

Het punt is echter: wat zegt wat een standaard is? Installed base is de lei hier. Flash is aan het teruglopen, dus de beslissing kan anders zijn, maar zeker met de patchcycli, en het feit dat front end (voor java dan) een kleine tak is, hoeft het nog NIET technisch slecht te zijn. WebGL is een vreemde eend, maar qua 2D animatie is/was flash koning tegenover HTML5, wat ik ook 3rd party beschouw (browser afhankelijk).

Komt nog eens bij: de user is niet 100% dom. Je moet ze beschermen, maar niet 100% dom houden of beschouwen. User first, but respect your users. Het is een filosofie, en daar kan over gedebateerd wordt. Maar "gelijk" heeft niemand. Voor alle commentaren over de snelheid/stabiliteit: een Android is eenvoudig te gebruiken voor elke 16-jarige dame en haar modeder, en je kunt er héél veel mee als je dat wilt. Een iOS device is ook eenvoudig te gebruiken, maar je bent beperkt in bepaalde aspecten. Die mening en filosofie is al lang en breed over gediscussieerd, maar je komt altijd op twee punten. Ik hang de filosofie van installed base, built-for-purpose, right-tool-right-job, en 'don't underestimate the user/respect'. Waarbij een developer UI natuurlijk nooit een goed idee is.
If you make something fool-proof, they'll invent a bigger fool.
Ik snap dit niet goed eigenlijk. Ik ben geen programmeur dus vergeef me maar ik snap je verhaal niet goed. Ik heb standaard geen Flash of Java. Mijn computer fabrikant heeft die in de ban gedaan. Wil ik die plugins moet ik ze zelf installeren maar ik ben eigenlijk nog nooit in de situatie gekomen dat ik die wel moest installeren behalve een paar dodgy sites die het niet de moeite maken om ze daarvoor te installeren.

Mij lijkt het dus toch vlot mogelijk die plugins voor consumenten in de ban te doen zonder dat plots heel de wereld komt stil te staan
Flash is inderdaad een afgrijselijk product dat nooit zo populair had mogen worden en zeker geblokkeerd hoort te zijn op iedere PC van een weldenkend persoon.
De Java plugin is helaas nog te veel gebruikt om echt te blokkeren, zeker binnen bedrijven zou dat voor veel mensen het werken onmogelijk maken. Helaas is legacy nu eenmaal iets waar je toch echt rekening mee moet houden en zou ik bijvoorbeeld een deel van mijn werk niet meer kunnen doen zonder Java, zelfs zonder Flash zou het al een stuk moeilijker zijn omdat de een of andere aap een admin GUI in Flash heeft geknutseld. |:(

Dat Flash niet wordt ondersteunt op de iPhone was een van de beste besluiten ooit van Mr. Jobs. Eindelijk iemand die niet zo bang was van dat stelletje lelijke hackers bij Adobe dat deze ramp bouwt maar simpel weg durfde te zeggen dat het een gevaar voor ieder systeem is en belachelijk slecht geschreven software is.
Niet gek als je leest hoe Flash ooit begonnen is maar toch...
Ik ben beslist geen Apple fanboy, en vond Jobs maar een rare kwiebus.

Maar in 1 ding had hij gelijk: flash/as is zondermeer één van de slechtste programmeertalen ooit commercieel geëxploiteerd. Dat wilde hij met wortel en al uitroeien. En daar had hij zeker een punt.

[Reactie gewijzigd door drogeworst op 8 juli 2015 10:04]

Flash is geen programmeertaal, wat maar eens te meer je vooroordelen en gebrek aan kennis aangeeft. |:(
Actionscript is waarschijnlijk wat je bedoelt en dat doet niet onder voor de gemiddelde programmeertaal.

Jobs lag overhoop met Adobe omdat Flash niet lekker werkte op zijn touch devices en het nogal wat resources gebruikt.
Adobe liet Flash een beetje aan haar lot over en had geen zin in het gezeur van Jobs en zeker geen zin om Flash daarop aan te passen.
Aangezien Flash destijds nog een gesloten systeem van Adobe was, kon Jobs verder ook niet doen om het te verbeteren dus besloot hij het maar gewoon niet te ondersteunen.
http://www.wired.co.uk/ne...-adobe-why-he-hates-flash
en terecht. "Flash is closed and proprietary, has major technical drawbacks, and doesn’t support touch based devices".

flash/as, het is mij om het even. ik heb er zelf aan lopen sleutelen, maar het was de investering tijd/geld niet waard. buiten dat hopeloos frustrerend. juist ook omdat flash plugins bij mijn users niet up to date waren (het was 2008). ach laat ook maar: flash blijft een slecht verhaal. van welke kant je het ook bekijkt.

in de volgende versie van chrome word flash standaard al gepauzeerd. de volgende stap is het helemaal niet meer ondersteunen. nu de rest van de browsers nog.
Touch is altijd ondersteund, er was een periode dat de allerhande swipe acties die Apple standaard heeft gemaakt (pinch2zoom etc) niet standaard erin zaten, maar je kon ze wel zelf bouwen

Actionscript valt toch wel in het straatje van de best gedocumenteerde programmeer talen de laatste jaren, frustratie is een persoonlijk iets he, jij vind het frustrerend, maar dat betekend niet dat de taal dat is.

Werken met bepaalde Flash player versies is ook niet moeilijk, even een dropdown in een settings menutje veranderen en je kan gewoon testen hoe het werkt op versie x, en die optie was er in 2008 (en ruim daarvoor) ook al.

In de volgende versie van Chrome word Flash niet standaard gepauzeerd, je bent in de war/hebt dat artikel nooit goed gelezen, het gaat specifiek over Flash banners, heel iets anders, wat trouwens meer te maken heeft met Google dan met Flash. (Google wil dat banners HTML5 worden, juist omdat banners dan zwaar gelimiteerd zijn in wat ze kunnen doen, Flash banners zijn irritant)
Kleine correctie flash is niet closed :-) de specs kan je ophalen en het staat je vrij je eigen flashplayer te maken. (Is dat makkelijk eeehm nee, maar het kan wel)
Goed voorbeeld is Unity, dat is ooit begonnen als Flash spinoff, en draait nog steeds op onderdelen van Flash (hoewel ze Flash export nu wel aan het uitfaseren zijn)
Flash is wel degelijk closed, want er is maar 1 partij welke de specificaties bepaald en beheerd: namelijk Adobe. Het feit dat Adobe die specificaties wereldkundig maakt doet daar niets aan af..
Belangrijkste argument van Apple was het 6-de argument. Heeft niets met veiligheid of prestaties te maken maar des te meer met de aanname van Apple dat developers niet het maximale uit de API's van iOS en OSX zouden halen omdat Flash een cross platform tool is en developers, volgens Apple wel te verstaan, om die reden opgesloten zouden zitten binnen Flash.

Lariekoek van de bovenste plank van de kant van Apple natuurlijk. Niet Adobe met Flash maar Apple behandelt developers als kleine kinderen van hier tot Tokio.
Larie en apenkool? Als het larie en apenkool is waarom zie je Flash dan bijna nooit meer? Ik herinner me nog goed het tegenargument van Android gebruikers destijds als er over de iPhone werd gesproken: "maar wij hebben Flash". Waar is Flash nu op Android?

Dat Apple ontwikkelaars als kleine kinderen behandelt dat is pas larie en apenkool of ga je me vertellen dat alle ontwikkelaars dan ook zo dom zijn van dat niet in te zien? 'iOS first' is nog steeds gangbaar bij ontwikkelaars. Moest Apple mij als een klein kind behandelen dan zou ik 'iOS never' hanteren.

Veiligheid en privacy voor gebruikers staat vooraan bij Apple, ik snap dat kleine kinderen het inzicht niet hebben dat dit primair is, het lijkt me dus eerder dat het net de kleine kinderen zijn die niet inzien dat restricties een nut hebben.
Het argument wat Apple hanteerde om Flash te proberen te weren is inderdaad lariekoek en regelrecht badinerend naar developers toe.

Apple heeft privacy en veiligheid hoog in het vaandel? Keep on dreaming. Apple heeft winst maken hoog in het vaandel staan. Meer dan wat dan ook.
Ok uit je antwoord versta ik al dat er van jou geen deftige antwoorden zullen volgen. Natuurlijk heeft Apple winst maken hoog in het vaandel. Het is dan ook een bedrijf en dat is wat bedrijven doen. Maar om winst te maken heb je een business model nodig en voor Apple is veiligheid en privacy daar onderdeel van.

Verder blijf je me het antwoord schuldig waarom er geen Flash meer te vinden is op Android en eigenlijk zowat overal. Flash is zowat zogoed als uitgestorven.

Maar goed van jou vallen blijkbaar geen deftige antwoorden te verwachten dus laat al maar.
Nope, voor Apple is het vooral de User Experience die telt. We hebben de afgelopen jaren te vaak gezien dat Apple traag reageert op beveiligingsissues. Het lijkt Microsoft wel 15 jaar terug in dat opzicht.

Flash is zeker nog niet uitgestorven. Nog voldoende sites die er gebruik van maken, al was het maar om videos af te spelen. Want daar voldoet HTML5 nog altijd niet aan en dat zal het ook niet snel doen. Men heeft bij HTML5 de kans gemist om 1 enkele, vrij bruikbare codec aan te duiden voor het afspelen ervan waardoor het web gesplit is in 2 kampen. En daar voelt iemand die een alternatief OS gebruikt zeker de nadelen van.
Net zoals veiligheid en privacy is user experience een onderdeel van hun business model. Bijna elk bedrijf reageert traag op beveiligingsissues. Google, Apple, Microsoft. Je kan Apple echt niet vergelijken met Microsoft 15 jaar geleden. 15 jaar gelden mocht je zelfs geen mails van onbekenden openen en was er elke week wel weer een nieuw virus op Windows dat grote schade toebracht. Dat soort zaken zien we bijna nooit op de Mac dus die vergelijking houdt geen stand.

Wat Flash betreft. Ok het is nog niet volledig uitgestorven maar als er niet snel een reservaat komt om sites die Flash nog ondersteunen zo te houden dan zal het niet lang meer duren :+
Heeft niets met deftigheid te maken wat Apple doet ten aanzien van Flash. Kijk naar het vrijgegeven standpunt van Apple inzake Flash op de site van Apple zelf. Het linkje daarnaar toe wordt boven mijn postings gegeven. Daar verwijs ik ook naar: https://www.apple.com/hotnews/thoughts-on-flash/

[Reactie gewijzigd door repeP op 9 juli 2015 18:25]

Kun je ook onderbouwen waarom je Flash zo slecht vindt? Ik vind AS3 namelijk erg goed werken.

De meeste frustratie die ik over Flash hoor komt door relatief grote bestanden die over 56K modems moesten worden binnengehaald, irritante animaties die voor advertenties worden gebruikt of door verkeerd gebruik van video-codecs.

Die irritante animaties kun je inmiddels ook met JS + canvas maken, is JS nu dan ook heel slecht?
Waarom is het zo slecht omdat er wel haast meer beveiligingslekken in lijken te zitten dan nuttige code. Adobe is simpel weg erg slecht als het op veilige code aan komt. Een enorm aantal aanvallen is gebaseerd op Flash of PDF exploits die Adobe alleen aanpakt na dat er mensen slachtoffer geworden zijn van de gaten in die code. Waar bijvoorbeeld Microsoft echt een flink offensief is gestart om mensen binnen het bedrijf beter te leren programmeren en een flink aantal beveiligingsgaten heeft gedicht voor dat er misbruik van gemaakt kon worden in de laatste paar jaar. Heeft Adobe maar zeer weinig gedaan om de meuk die hun meest gebruikte software is eindelijk een op te schonen.

Ja AS3 is vast en zeker een fijn iets om mee te werken, en doet zeker niet onder voor andere talen met een zelfde doel. Het grote probleem is dat het zich ook heel erg goed leent voor misbruik en dat de container waar in het draait daar eigenlijk helemaal niets tegen doet.
De irritatie rond Flash komt al lang niet meer van de 56k modem gebruikers (die zijn bijna uitgestorven). De irritatie is dat het simpel weg niet veilig is, dat het veel te veel resources gebruikt voor wat het doet en dat het een gesloten systeem is dat simpel weg niet goed onderhouden wordt.
Dat ben ik grotendeels met je eens, echter vroeg ik niet aan jou wat jij slecht vindt aan de Flash-plugin, maar vroeg ik aan drogeworst waarom hij AS3 zo slecht vindt.
Nou nou, valt ook wel mee hoor, ja er zijn in de loop van de jaren zeker een hele berg bugs geweest, maar zeker niet allemaal beveiligingslekken.

En, wat veel mensen die dit roepen ("slechte code, want kijk naar alle hacks") even voor het gemak lijken te vergeten, er is een reden dat Flash zo 'aangevallen' word/werd, in de hoogtijdagen had 98 procent van de computers/devices Flash, als je dan iets wil hacken, is het toch geweldig als je dat via zo'n systeem kan? dus iedereen duikt erop, en ja, dan word er meer gevonden en misbruikt dan bij bijvoorbeeld Silverlight, wat nooit echt helemaal van de grond is gekomen.

Vergelijkbaar met hoe er miljarden virussen etc zijn voor Windows, en een stuk minder voor OSX en Linux, de Windows markt is (met afstand) de grootste partij, dus daar valt het meeste te halen, dus word constant aangevallen.

Het klopt trouwens wel dat Actionscript (alle versies) zich tot op zekere hoogte lenen voor misbruik, het is nou eenmaal een sterke taal waar veel mee mag en kan. Net zo goed leent Java zich voor misbruik, maar C etc ook. Als je veel kan, kan je ook veel fout doen, al dan niet bewust.

Flash is trouwens (zoals wel meer reacties hier aangeven) niet gesloten, je kan gewoon zelf een spinoff maken, alleen is dat pittig, juist omdat Flash zoveel mag en kan.
Zoals hierboven is aangegeven is Java veel meer dan dat. Het is vaak de browser integratie die problemen geeft, maar Java wordt voor een hoop applicaties nog gewoon gebruikt. Weet dat het mogelijk is Java integratie in de browser volledig uit te schakelen mocht je java wel nodig hebben, waardoor de risico's meteen een stuk lager zijn.

Het is een omvangrijk platform, en bepaald niet zo 'legacy' als wat er nu door jou wordt beheerd. Het moment dat HTML5 alle functies uit Flash e.d. kan overnemen, zullen de problemen hopelijk verminderen aangezien dan vanuit de webbrowerser minder hoeft te worden gesteund op Flash en Java (en vergelijkbare programma's).

En wat algemener: weet dat wanneer je Chrome for Windows hebt, je automatisch al een bewerkte flash plugin van Google geintegreerd heb. Deze moet handmatig worden uitgeschakeld. Wat nu dus een uitstekend idee is totdat er een security patch is vrijgegeven.
Alles leuk en aardig, maar ik was 9 jaar Flash developer, en nu webdeveloper (door Steve's uitspraken..) dus ik weet waar ik over praat, hier zijn wat punten die ik graag even met je deel:

- Het is algemeen bekend dat Steve Jobs Flash vooral heeft afgebrand omdat ze via iTunes spellen wouden verkopen, en de miljarden gratis Flash games online waren zeker geen hulp, die uitspraak ("Flash is the only reason Macs crash") was gewoon vooral Steve's geweldige ego, "als ik nou heel hard roept dat flash ruk is, dan moeten ze wel naar m'n pijpen dansen" is wat waarschijnlijk de redenatie was, er zijn namelijk ook documenten boven water gekomen van communicatie tussen Apple en Adobe waar Apple onder andere eiste dat ze betrokken werden in de ontwikkeling van Flash omdat de meeste Adobe gebruikers op OSX zouden zitten, en Adobe dit (logischerwijs) niet accepteerde.

- Flash word ondertussen alweer een paar jaar gewoon ondersteund door de iPhone hoor, ik kan (als ik dat zou willen) zonder moeite iets gebouwd in Flash uitrollen naar iOS. En nee, voordat je dat denkt, het word dan niet omgezet naar assembly ofzo, er word gewoon een Flash player gebruikt.
- Flash is (samen met Java) nog steeds een van de meest wijd toepasbare technieken, simpel voorbeeld, er zijn zelfs vandaag de dag (met alle smartphones etc) meer machines online die Flash ondersteunen dan machines die HTML5 ondersteunen.
- De uitspraak heeft trouwens ook voor Apple negatieve effecten gehad, Adobe heeft "uit protest" een tijdje bewust geen updates meer uitgebracht voor hun pakketen voor OSX, waarna letterlijk miljoenen designers over zijn gegaan op Windows.

- Reden dat je Flash (in z'n pure vorm) niet meer op mobiel ziet is omdat Apple nou eenmaal een enorm zwaargewicht is, en dan is het lullige altijd dat 'de wat minder geinformeerde mensch' ze blind volgt, ja, er zijn in het begin wat problemen geweest met Flash op Android, maar die zijn vervolgens ook gewoon opgelost, maar toen bestond HTML5 al, en dachten de meeste mensen nog steeds "Flash is voor videos", dus is het uitgefaseerd. Ondertussen hebben we alweer een paar jaar Adobe Air op vrijwel alle mobiele platformen, en dat is gewoon Flash, geen haan die er naar kraait, en het draait beter dan menig ander framework.

Je zal het vast niet met de meeste punten eens zijn, maar ze zijn allemaal waarheid, kun jij met je kortzichtige opmerkingen weinig aan veranderen.
Eigenaar (vrouw, diep in de 60) had Flash niet geupdate sinds 2011 en Java was geïnstalleerd in 2013 en daarna nooit geupdate. Uitleg eigenaar: "de updates gaan altijd automatisch, ik hoef nooit wat te doen". Gevolg: 3.5k malware entries, 6 virussen en een browser die zelfstandig zijn eigen adresses invulde. (...) Ik vind het verbazend dat een leverancier niet zijn eigen code durft op te heffen omdat het klip en klaar is dat de code in de basis al zwaar compromised is. Als ontwikkel team zul je elkaar moeten aankijken en je verantwoordelijkheid moeten nemen: "het werkt gewoon niet, dit was het. Einde verhaal, we gaan ons product opheffen".
Nogal krom: de schuld van die situatie geven aan de ontwikkelaars. Die vrouw houdt niet zelf de updates in de gaten, zelfs al zouden ze daadwerkelijk automatisch gaan, waarna ze verschillende virussen en noem maar op heeft. Wanneer er ondertussen (enorm veel) nieuwe updates en patches zijn uitgebracht voor die software, onder andere voor die beveiligingsproblemen, dan ligt de oorzaak en de oplossing ergens anders dan bij de ontwikkelaars. Zij hebben hun deel gedaan, de rest is aan de gebruiker.
Niet mee eens. De gemiddelde(!!) mens is wat updates betreft behoorlijk digibeet (serieus). En als dan nog word aangegeven dat het automatisch gaat, wat voor Windows misschien wel geld, maar voor applicaties niet. Maar dat weet de gemiddelde mens niet eens. Die denkt dat het allemaal bij Windows hoort. (Je gaat met een auto ook naar 1 garage. En niet naar Continental voor de banden, en naar Bosch voor de bougies)

En aangezien tegenwoordig iedereen van alles via internet MOET doen (belasting, gemeente zaken, enz), hebben ook mensen die er geen verstand van hebben een computer. Ontwikkelaars maken zelf fouten, waardoor updates nodig zijn. Daar ligt dus zeker een grote verantwoordelijkheid. Niemand maakt bugvrije applicaties, maar je kunt er wel voor zorgen dat iemand word geattendeerd word op updates en/of dat het automatisch gebeurt. Helaas valt dat vaak nog tegen. En de gemiddelde mens weet niet waar die updates moet vinden, laat staan of die een 32 of 64 bits versie heeft wat vaak ook nog uitmaakt.

[Reactie gewijzigd door gjmi op 8 juli 2015 11:13]

DIT is het grote manco van oa Windows. Dat bijna elke applicatie zijn eigen updaters moet schrijven en dat de gebruikers die ook moeten draaien.

Ik ben een enorme voorstander van de packagemanagers van Linux. Alle software tegelijk updaten en geen omkijken erna.
En als je dan een update probeert te installeren krijg je 'gratis' de Ask.com toolbar of McAfee erbij tenzij je heel alert bent. Mijn ouders, allebei in de 70, proberen het soms wel zelf bij te houden maar ook daar gaat het soms mis.

Het is een mijnenveld! Dat is toch niet aan mensen uit te leggen? "Ja, je moet updates installeren. Nee, dat gaan niet helemaal vanzelf maar je moet ze downloaden en dan 20x op de juiste knop drukken. Oh, je hebt op de verkeerde knop gedrukt! Tja, daardoor ben je nu bijna net zover van huis als wanneer je niet geupdate had." ARGH!
Afgezien dat Java in de browser, nog heel veel gebruikt wordt in het bedrijfsleven......

Dus niet echt een oplossing.....
Flash ok, maar Java? Dat wordt ook zakelijk veel gebruikt met oude pakketten.
Volgens mij kan je Java zo instellen dat het alleen draait op vertrouwde sites?
Je hebt het hier dan wel over software die die gebruiker zelf geïnstalleerd heeft, en dat doet die gebruiker niet zomaar, dat doet die gebruiker omdat hij/zij er nood aan heeft, omdat het voor hem/haar een meerwaarde bied.

Zomaar verwijderen is dus GEEN oplossing.
Uit het artikel:
Volgens beveiligingsonderzoeker Yonathan Klijnsma gaat het onder meer om een bug in SELinux onder Android.
Het word tijd dat Google zijn bejaarde code definitief stopzet en standaard blokkeert. Ik lees de afgelopen 7 jaar niets anders dan ellende over Android.

Geldt ook voor Java. Hef dit soort apps op. Het werkt gewoon niet.

Beetje overdreven, niet?
Steve Jobs wist het 6-8 jaar geleden al. En gelukkig was hij eigenwijs genoeg om het niet op iOS te ondersteunen, ook al was de publieke opinie daarover niet mals. In 2010 heeft ie een verhaal geschreven waarom. Één van de redenen is dus ook dat het zoveel security issues heeft.

https://www.apple.com/hotnews/thoughts-on-flash/
tja, tuurlijk lees je veel over problemen met flash, omdat het veel gebruikt wordt/werd, indertijd had je gewoonweg eigenlijk geen andere mogelijkheid als je meer wilde..

Dus google moet Chrome dan ook maar opheffen, want ook daar worden net zo vaak lekken gevonden als in flash, en hetzelfde geldt voor elke andere browser..
Ik heb van het weekend net een laptop gered wegens volledig onbruikbaar. Eigenaar (vrouw, diep in de 60) had Flash niet geupdate sinds 2011 en Java was geïnstalleerd in 2013 en daarna nooit geupdate. Uitleg eigenaar: "de updates gaan altijd automatisch, ik hoef nooit wat te doen". Gevolg: 3.5k malware entries, 6 virussen en een browser die zelfstandig zijn eigen adresses invulde. Tenenkrommend de laptop gerepareerd (en nee het is niet mijn werk) waarna ik zwijgend mijn biertje heb opgedronken. Ik ga het niet eens meer uitleggen.
ik hoop wel dat je dan inderdaad ook alle updates op automatisch gezet hebt, nieuwe AV geïnstalleerd hebt , samen met een addblock, ghostery & unchecky zodat het systeem wat langer bruikbaar blijft.
ze krijgen het toch wel naar de knoppen, maar het zal wat langer duren.
Ik draai standaard met flash op "klik to enable" en java gewoon uit.

Die "klik" doe ik zelden, scheelt ook nog netwerkverkeer.
Ik ben nog geen site tegengekomen die java nodig had.

Flash en Java werken wel als je op een PC zit. Op een embedded apparaatje is een flash plugin niet voorhanden bij gebruik aan source code (kan alles draaien, maar moet 't wel kunnen compileren...) en Java vreet een paar honderd MB flash weg, en zoveel is er meestal niet eens.
@ je flash opmerking
Zo heb ik ook al jaren flash geblokkeerd, maar nou zat ik laatst toch eens te browsen op het internet in sandboxed mode.. en toch wist een een of andere malware nadat ik toegang had gegeven een filmpje van flash af te spelen per direct een spam account toe te voegen aan mijn Skype wat ook openstond.

dus het maakt niet uit of je sandboxed werkt of niet, de malware komt er toch doorheen.
Er gaat bijna geen week meer voorbij dat of er wordt wel een exploit gevonden in Flash. Met Silverlight out of the picture bij Windows 10 hoop ik dat ook Flash uit Windows 10 wordt gehaald. Ik ben zelf allang blij dat ik standaaqrd een Linux versie zonder Flash draai.
Java is ook een vrij glitchy iets. Maar Flash, dat is software die erg leuk was in 2000 maar inmiddels dood en begraven moet zijn.
Met Silverlight out of the picture bij Windows 10 hoop ik dat ook Flash uit Windows 10 wordt gehaald.
Silverlight blijft gewoon bestaan in Windows 10. Het wordt alleen niet meer ondersteund in Edge, de nieuwe standaardbrowser van Windows 10.
Flash heeft nooit in Windows gezeten. Indien je flash gebruikt is het omdat je dit zelf (al is het als onderdeel van een groter geheel zoals Chrome) geïnstalleerd hebt.

En voor we flash kunnen afvoeren moet er eerst een goed alternatief komen voor alles wat flash kan. En dat is meer dan gewoon video afspelen. Al moet ik zeggen dat zelfs daar geen goed alternatief voor is. HTML5 had dit kunnen oplossen, maar dan had men de keuze moeten maken voor een vrij bruikbare codec ipv geen codec op te geven. Ik zie vandaag nog al te vaak op platformen die claimen html5 video te ondersteunen dat het filmpje niet kan afgespeeld worden.
Daar is anders geen reden toe, wanneer video in 2 alternatieven aangeboden wordt:
  • MP4 (H.264 + AAC)
  • WebM (VP8/VP9 + Vorbis/Opus)
Zou dat probleemloos op alle normale platformen moeten draaien.
Alleen doen vele aanbieders dat niet. Ze zetten het in h.264 en denken dat de kous af is terwijl h.264 geen vrij te implementeren codec is en dus op bepaalde platformen niet meegeleverd word.
Een alternatief voor Flash? Ik weet niet op welk internet jij zit maar ik kom haast nooit meer Flash tegen. Ik heb geen Flash geïnstalleerd op mijn Mac dus ik zie in principe direct wanneer je Flash nodig hebt en dat is bijna nooit. Verder heb ik ook nooit problemen om video's af te spelen. Dus ik denk dat jij op een oudere versie van het internet zit dan ik ;)
Dat komt omdat Apple betaald om een h.264 codec mee te leveren. En de meeste sites coderen hun videos ook alleen maar daarin. Gebruik je een platform waar geen h.264 op meegeleverd word (omdat deze niet royaltie vrij is) dan krijg je nog al te vaak zien dat flash vereist is om het filmpje af te spelen.
Eens. Ik weet dat onder Linux met Firefox het een echte hel kan zijn om html 5 playback aan het werk te krijgen. Terwijl Chrome er bijvoorbeeld geen moeite mee heeft.
Ik meen mij te herinneren dat Windows wel native een Flash heeft, of iig heeft gehad? Maar dat kan met oudere versies van Windows zijn.
Niet waar; in de nieuwere Windows versies, krijg je de Flash-compontenten voor IE binnen via WindowsUpdates.

Aangezien Microsoft de enige is die updates maakt & verspreid, zit het dus zeker wel in Windows.
net zoals er ook elke week exploits gevonden worden in Chrome, IE, Firefox, safari en ga zo maar door.. Overigens overdrijf je wel... En in veel gebruikte plugins zullen sneller exploits gevonden (of naar gezocht) worden dan bij zelden gebruikte plugins.. Zoals ik al zei, de browsers zelf zijn ook verre van exploit vrij, en zeker met de complexiteit/mogelijkheden die "HTML 5" met zich meebrengt (oa bv directe toegang tot de GPU).
Flash, Java, Silverlight ... allemaal gesloten 3rd party software die vol zitten met exploits en de potentie hebben om de veiligheid van je systeem volledig onderuit te halen. Ben blij dat ik dergelijke troep niet heb draaien.
Alsof open source software die problemen niet heeft. Ook bijv. (open)ssl is regelmatig in het nieuws. En apache en....noem maar op.

Denk niet dat exploits ontbreken in de software die jij gebruikt. Al weet ik niet welke software je gebruikt, ieder stukje software bevat bugs. En is daarom in meer of mindere mate gevoelig voor veiligheidslekken (zoek maar eens op ratio of bugs per line of code, waarbij niet iedere bug een veiligheidslek hoeft te zijn).

Dus om wat je noemt weg te zetten als troep, getuigt toch van naïviteit of kortzichtigheid of van bovenmenselijk veel kennis. Een 'hello world' programma (voor zover je dat programma mag noemen) is wel bug vrij te maken (veronderstellend dat de onderliggende bibliotheken en OS bug vrij is, dat is ook niet zo), maar code van enige omvang bevat per definitie bugs. Kijk maar hoeveel Nederlanders het nationaal dictee foutloos halen :-). Zelfs met alle hulpmiddelen die een ontwikkelaar heeft krijg je code niet bug-vrij.
Zo lang als ik (vooral) Java en Flash ken, zo lang zijn ze al lek als een mandje. Dat is al minstens 15 jaar zo. Als je het over zo'n periode niet voor elkaar krijgt om het fatsoenlijk te patchen mag je het best "troep" noemen.
Het vervelende is dat voor een platform onafhankelijke programmeertaal i.c.m. de browser niet zo heel veel alternatieven zijn. Als taal is Java zo gek nog niet (al werk ik zelf zelden met Java, maar hoofdzakelijk met C/C++). En langer dan 15 jaar :-).
Noem je elke browser en os dan ook troep? Hoevaak worden die niet voorzien van security updates?
. Volgens beveiligingsonderzoeker Yonathan Klijnsma gaat het onder meer om een bug in SELinux onder Android.
Android is wel Open source toch?
Bugs zijn niet alleen in closed source software te vinden.
Dat heb ik ook helemaal niet gezegd. Wel suggereer ik dat ik open-source prefereer en dat exploits in closed-source vaak lastiger te vinden zijn omdat alleen de fabrikant toegang heeft tot de broncode. Je moet er dus maar van uitgaan dat het allemaal klopt (wat dus vaak niet het geval is).
dan neem ik aan dat je zelf naar beveiligings fouten zoekt in de bron code van je linux systeem.

Shellshock bestond al sinds 1994 en is niemand opgevallen.

Dat een systeem open is betekend niet dat het makkelijker is om zero days te vinden

[Reactie gewijzigd door valvy op 8 juli 2015 09:56]

Bij open source heeft iedereen toegang tot de broncode. De vraag is wie de bereidwilligheid heeft om voldoende resources beschikbaar te stellen om die broncode op mogelijke beveiligingslekken te controleren. Ik denk dat het aantal kwaadwillende bedrijven/ organisaties daarbij veruit in de meerderheid zijn.
Het maakt niet uit of het gesloten of open software is... Je hebt toch ook chrome draaien of firefox? ook die zitten (net als elke andere browser) vol met lekken, ga je die dan ook maar niet meer gebruiken?
Dit is wel erg kort door de bocht. Het lijkt mij juist veel makkelijker om bugs te vinden in software waarvan je de broncode hebt.

Ontwikkelaars zouden deze bugs uiteraard ook kunnen vinden en vervolgens meteen fixen, echter focussen zij zich op ontwikkelen en meestal niet op het gericht zoeken naar bugs (om ze als zero day te misbruiken). De hackers zijn echter gespecialiseerd in het herkennen van bugs (zeker wanneer er grof geld mee gemoeid gaat).
De Java src is gewoon in te zien dan wel via openjdk
Ja, maar dat is niet de 'echte' Java van Oracle.
De source is wel gedeeld met de Oracle runtime, maar juist de browser integratie plugins zijn closed source en blijven dat. En dat is waar men de pijnpunten wil vinden en waar men dus niet kan kijken hoe men dat regelt.
"Beveiligingsbedrijf" hacking team aansprakelijk stellen voor alle geleden schade wegens nalatigheid.
Is er in Europa geen meldingsplicht als je een exploit vindt?
Ik was net hetzelfde aan het denken.
In hoeverre zou dit bedrijf vervolgd kunnen worden wegens het moedwillig achterhouden van beveiligingslekken?
Maar dat wordt dan wel een hele lastige voor het bedrijf. Als zij het moeten melden, kunnen ze ze zelf ook niet meer misbruiken. Dat zou dan een mega probleem zijn voor hun business model. Vermoed dat ze dan slechts twee keuzes overhouden:

- opdoeken
- lekker zo doorgaan en evt. boetes verwerken in de kostprijs

Het bedrijf zou bij de tweede optie wel crimineel worden, maar ach, dat zijn ze naar mijn mening nu ook al. Van vervolging zal het gezien de klantenkring waarschijnlijk toch niet komen |:(
Wie zou ze moeten vervolgen? Hun beste klanten?
Je bedoelt het moedwillig verkopen van lekken aan overheden en andere instanties?

Hacking Team is een "intermediair" voor het aanbieden van exploits; dat hun bedrijfsmodel misschien moreel niet netjes is, is niet jouw zorg.

Eenzelfde dilemma geldt voor wapenfabrikanten, oliemaatschappijen, en noem maar op waardoor "de consument" negatieve gevolgen van zou kunnen ondervinden.
Waar denk je dat de aivd en mivd en eu consorten gebruik van maken?
Inderdaad, zero day exploits. En die gaan ze echt niet melden aan de fabrikant in kwestie omdat ze dan hun ingang kwijt zijn.
En dat vind ik een kwalijke zaak. Wie zegt dat zij de enigen zijn wat het achterpoortje hebben gevonden? Dit is echt met vuur spelen.

Ze zouden de onschuldige gebruikers moeten beschermen door het lek te dichten.
Nu laten ze iedereen kwetsbaar om een kleine groep gebruikers te kunnen bespioneren. (hopelijk alleen op bevel van een rechter, maar ik heb daar mijn twijfels over de laatste tijd)
Waar denk je dat de aivd en mivd en eu consorten gebruik van maken?
Inderdaad, zero day exploits. En die gaan ze echt niet melden aan de fabrikant in kwestie omdat ze dan hun ingang kwijt zijn.
In analogie, je vindt het toch ook gek als de politie je ramen gaat forceren als ze een huiszoeking willen doen?

Dus waarom zou de ene wetshandhavingsdienst dat (digitaal) wel kunnen en de variant in het analoge domein wordt er gek op aangekeken?
Er barsten bij dit soort artikelen altijd allemaal discussies los over Flash, Java, Silverlight, Android, iOS, Chrome, Firefox, (niet eens Internet Explorer? :)) closed source, open source, etc., maar uiteindelijk maakt het geen bal uit in welk product de bug zit. Het is nu Flash, maar het had net zo goed Chrome, Safari of Notepad kunnen zijn.

Het probleem is hier de zero day exploit en deze blijven tevoorschijn komen totdat iemand een mooi algoritme o.i.d. bedenkt om deze (allemaal) te detecteren (als dat uberhaupt al mogelijk is).
Het maakt natuurlijk wel degelijk uit waar de bug zit en hoe vaak de bug daar zit.
Ligt eraan op welke wijze die discussies gevoerd worden. Flash is niet essentieel dus het voegt een onnodig risico toe. Ik heb het zelf niet eens geïnstalleerd en voor dingen als Twitch is er VLC. (Stom dat ze nog steeds geen HTML5-player aanbieden)

Open source vs closed source gaat niet om veiligheid tegen crackers/hackers maar malware. Als je een tooltje download dan kan je zien wat het doet en op welke wijze, bij closed source is het niet na te kijken of het ongewenste grappen met je systeem uithaalt. Vooral een cruciaal iets als een browser, wat je in principe altijd gebruikt, wil je toch deze zekerheid? Ook als er functionaliteit toegevoegd of verwijderd wordt dan kan je het zelf veranderen door het te forken of een backport. Een browser moet in mijn ogen altijd open source zijn.

Tuurlijk is open source niet per definitie veiliger tegen lekken dan closed source maar je weet voor 100% wat het uitspookt. ;)

[Reactie gewijzigd door Huuskes op 8 juli 2015 19:40]

De browser-plug-ins Flash en Java worden heel vaak genoemd, omdat zich daarin ook heel vaak zeer ernstige veiligheidsproblemen voordoen.

Chrome en Firefox zijn een stuk veiliger op zich, zonder plug-ins zoals bovengenoemde.

Android en IOS zijn behoorlijk veilig (maar natuurlijk niet 100%).

PDF en DOC zijn mwah (alleen openen indien afkomstig uit betrouwbare bron, en door Virus Total trekken).

Browsers maken direct contact met Internetpagina's en brengen je daarmee veel in contact met virussen; maar, als je alle plug-ins (dus niet extensies) uitschakelt of click-to-play maakt, ben je betrekkelijk veilig als je geen bestanden van het Internet echt opent/uitvoert op je computer. Ook de VLC-plug-in en bepaalde PDF-plug-ins hebben ernstige problemen gehad, en Silverlight vast ook.

De meeste browser-aanvallen die op Tweakers voorbij komen hebben een lek in een plug-in nodig om te werken: ook al worden ze b.v. verspreid via een link in een phishing-e-mail of via een malafide advertentie op een site, werken ze niet zonder dat ook nog hun Flash- of Java-component in werking treedt. Click-to-play werkt prima, en je kunt voor specifieke websites, zoals Youtube, Flash wel altijd automatisch laten uitvoeren.

[Reactie gewijzigd door Cerberus_tm op 9 juli 2015 02:59]

Dus, het bedrijf "Hacking Team" is gehackt.
En bij de buitgemaakte gegevens/bestanden zitten een soort hacking tools/"tips"?
Oh, het is nog veel erger (voor Hacking Team): bij de hack is ca. 400 GB aan gegevens buitgemaakt en gepubliceerd. Deze gegevens bestonden o.a. uit de source van hun producten, hun volledige lijst van klanten (w.o. de FBI en diverse landen). Tel daarbij ook nog de private GPG key van één van hun engineers en de ramp is compleet.

Long story short: een bedrijf dat altijd al verdacht werd van schimmige praktijken is nu aan de schandpaal genageld.

[Edit: TLDR regel toegevoegd]

[Reactie gewijzigd door Cameleon73 op 8 juli 2015 08:39]

Ja, de link tussen de hack van het bedrijf en de "hacks van het bedrijf" (lees expoit kits) was wat vaag.
Als de exploits snel gepatched worden is dit een goede ontwikkeling.
Is het tot die tijd echt nodig om voorzorgsmaatregelen te nemen?
Iedere gehackte site kan je momenteel een besmette swf serveren die ongezien je systeem owned door bijvoorbeeld een Cryptolocker-malware te installeren.

De exploits worden dus nooit snel genoeg gepatcht, want het is al te laat in dit geval.
Of je voorzorgsmaatregelen wil nemen moet je zelf weten, maar je bent gewaarschuwd. :p

[Reactie gewijzigd door SidewalkSuper op 8 juli 2015 10:34]

Jazeker. Lees dit maar: nieuws: Hackers publiceren interne data omstreden beveiligingsbedrijf Hacking Team

De link naar 400GB torrent is inmiddels vrij eenvoudig te vinden.
De link naar 400GB torrent is inmiddels vrij eenvoudig te vinden.
Ik begrijp nog altijd niet wat mensen met zo'n datalek van 400GB moeten. Ga je echt die informatie door zitten spitten op iets nuttigs? En wat wil je er dan mee gaan doen?
bijvoorbeeld bij tweakers melden en dan maakt tweakrs er een artiekel van zoals ze met dit doen
Zelf gebruiken.
Bespaart je enorm veel tijd en geld die je anders aan research kwijt bent.
Als malware maker is zoiets een goudmijntje.
Er zitten bijvoorbeeld license keys in voor Windows, Ms Office en nog een paar commerciele applicaties.
Voor de criminelen zit er nog meer leuks bij zoals paspoorten en dergelijke voor erg solide nep identiteiten. Vanzelfspreken natuurlijk ook nog de exploit (tools) die je makkelijk kan overnemen.
Voor de journalist ed kun je zien welke bedrijven klant zijn/waren van dat bedrijf. Kan je ze mooi confronteren wat zij moeten met spionage software. (ING Direct, Coca Cola, Deutsche Bank etc.)
Ik zie hier: Exploits die 'beveiligings' bedrijven gebruiken zijn dezelfde als die gebruikt worden voor malafide toegang tot systemen... volgens mij wordt het tijd dat justitie's en opsporingsinstanties in plaats van gebruik te maken van de door 'beveiligings' bedrijven gemaakte software, burgers juist beschermt door bij deze bedrijven de gebruikte exploits te vorderen, en deze vervolgens aan de makers van de geëxploiteerde software aanbied om de lekken te verhelpen.
Heb je de lijst van klanten al eens bekeken? Enorm veel overheden zijn net klant van dit bedrijf, denk je nu echt dat zij de tools die ze zelf gebruiken onbruikbaar willen zien worden?
Ja, dat heb ik. En nee, dat zullen ze zeker niet willen. Maar eigenlijk zou het wel moeten.
Dat gaan nooit gebeuren:
https://www.bof.nl/2015/0...-voor-legale-doelen-maar/
En dan met name door dit stukje:

Wat doet de overheid als zij een kwetsbaarheid tegenkomt? Op een verantwoorde manier melden bij de maker van de kwetsbare software en daarna openbaar maken? Of geheim houden voor gebruik door de politie en de geheime diensten? En die vraag beantwoorde de minister uiterst dubbelzinnig:

“Indien [geheime diensten] stuiten op significante kwetsbaarheden […], dan zullen belangendragers geïnformeerd worden.

Indien de politie bij de uitoefening van haar taken op kwetsbaarheden stuit […] dan zal in samenwerking met het NCSC worden bezien op welke wijze en welke termijn de informatieverstrekking plaatsvindt.

Er kunnen echter wettelijke bepalingen (de wettelijke plicht tot het beschermen van bronnen of actueel kennisniveau) of operationele redenen zijn, die openbaarmaking van kwetsbaarheden (tijdelijk) in de weg staan.”
Er is altijd wat met Flash. Zodoende gebruik ik ook geen Chrome want daar krijg je automagisch Flash bij..
Chrome gebruikt toch Google's eigen Flash in plaats van Adobe Flash?
Welke ze precies gebruiken weet ik niet. Dat ie vatbaar is wel. Uit het artikel:
"Het beveiligingsprobleem maakt het mogelijk om zelf code op een systeem uit te voeren, en werkt onder meer in Chrome op Windows."
In Chrome kan je het uitschakelen. :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True