Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google Chrome gaat offline beschikbare content beter zichtbaar maken

Google heeft zijn Chrome-browser een update gegeven, waardoor het voor gebruikers onder meer duidelijk moet zijn welke content een webapplicatie allemaal offline beschikbaar kan maken. De nieuwigheid zit in Chrome 80, die momenteel in bèta is.

Voor de nieuwe functionaliteit heeft Google de Content Indexing-api ontwikkeld. Ontwikkelaars kunnen metadata meegeven aan offline beschikbare content, waarbij de browser het voor de gebruiker in een lijstje toont. Het is daar ook mogelijk om content weer te verwijderen.

Het beter inzichtelijk maken van offline content is eigenlijk bedoeld voor Chrome-versie 82. Vanaf de bètaversie van Chrome 80 wordt er echter al mee geëxperimenteerd. Overigens wordt in deze versie van de Chrome-browser ook de ondersteuning van een aantal functies stopgezet, waarbij onder meer de ondersteuning voor ftp verder wordt teruggebracht.

Google heeft Chrome 80 als bèta uitgebracht voor Android, macOS, Linux, Chrome OS en Windows. Een definitieve versie wordt ergens in de komende tijd verwacht.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

22-12-2019 • 10:24

30 Linkedin

Reacties (30)

Wijzig sortering
Aw.. FTP weghalen.
Da's gewoon niet cool, Google.
Een niet beveiligde verbinding is ook niet cool, maar hot voor cybercriminelen ;)
Als het risico van het protocol echt een probleem zou zijn dan is het scheef dat Google HTTP wel ondersteuning geeft terwijl dat veel breder in gebruik is. Veiligheid lijkt dus niet het sterke argument om FTP niet meer te ondersteunen. Dat lijkt ook uit de argumenten van Google:
The reason for this is that usage of FTP in the browser is sufficiently low that it is no longer viable to invest in improving the existing FTP client. In addition, more capable FTP clients are available on all affected platforms.

[Reactie gewijzigd door kodak op 22 december 2019 23:12]

Is alleen niet cool voor gevoelige en privé data.
Nee, een niet beveiligde verbinding is altijd niet cool. Als jij denkt een relatief onbelangrijk bestand te downloaden, maar een aanvaller heeft er via een MITM aanval een virusje aan toegevoegd, is het dus óók voor 'onbelangrijke' bestanden niet cool.
Ja, want een plaatje in JPG of PNG formaat is o zo gevaarlijk 8)7

Enkel als de aanvaller WEET welke viewer je daarvoor gebruikt, kan het een relevante veiligheidsrisico zijn. Voor een crimineel die met randsomware iets wil verdienen, is het vanwege het aantal viewers niet de meest interessante manier om slachtoffers te maken.

In het bronartikel is het niet helemaal duidelijk of Google alles wat naar FTP riekt eruit sloopt of FTP eruit, maar FTPS blijft behouden. Dat laatste zou wenselijker zijn.
Ehh, ja, JPG of PNG plaatjes kunnen o zo gevaarlijk zijn 8)7 Begin dit jaar nog is er een bug in Android opgelost waardoor een aanvaller code kon uitvoeren via een aangepast PNG bestand.

Maar het hoeft natuurlijk niet om een afbeelding te gaan, je kan ook iets anders van een ftp server downloaden (exe, pdf, zip, ..). Of je kan denken dat je een JPG download maar stiekem zijn geredirect (want ook dat kan via een onbeveiligde verbinding) naar een image.jpg.exe of iets dergelijks.

De aanvaller hoeft helemaal niet te weten welke viewer jij gebruikt, dat is in veel gevallen namelijk helemaal niet interessant. Als je een 'direct doel' bent misschien wel inderdaad. Maar voor ransomware is dat vaak totaal niet interessant. Als 1000 mensen het via de MITM aanval geïnfecteerde bestand downloaden, 100 openen 'm, 10 zijn daadwerkelijk kwetsbaar en raken geïnfecteerd en 5 betalen de aanvaller in de hoop de ransomware te verwijderen, dan is dat toch 5x winst voor de aanvaller. En jouw viewer is ook niet relevant als je besluit het bestand door te sturen, te delen of weer ergens anders te uploaden. Dan kan het zijn dat jij geen schade hebt, maar zo wel andere infecteert omdat je een geïnfecteerde file via een onbeveiligde verbinding hebt gedownload.

Specifiek over het verwijderen uit Chrome, wat ze zelf zeggen hierover is:
The reason for this is that usage of FTP in the browser is sufficiently low that it is no longer viable to invest in improving the existing FTP client. In addition, more capable FTP clients are available on all affected platforms
Ze willen het er dus voornamelijk uit slopen omdat het (via Chrome) te weinig wordt gebruikt, en er voldoende prima alternatieve clients te vinden zijn. En daar kan ik het eigenlijk alleen maar mee eens zijn. Grote kans dus dat ze FTPS er ook uit gaan slopen, en je dus gewoon een andere client moet gaan gebruiken als je een van de weinige gebruikers bent die nog wel via Chrome FTP't.
Ehh, ja, JPG of PNG plaatjes kunnen o zo gevaarlijk zijn 8)7 Begin dit jaar nog is er een bug in Android opgelost waardoor een aanvaller code kon uitvoeren via een aangepast PNG bestand.
Nogmaals dan wordt er maar een select aantal mensen getargeted. Jouw artikel gaat terug in februari dit jaar. En in Mei dit jaar kwam Google weer met cijfers over de gebruikte versies van Android. Hieruit blijkt dat grofweg 57,9% van de Nougat t/m Pie gebruikers vatbaar waren. Grofweg de helft van de Android userbase die telemeterie niet uit heeft staan. Granted, gebruikers genoeg. Maar genoeg dat er bereid zijn om losgeld te betalen voor data dat al in de cloud staat?
Maar het hoeft natuurlijk niet om een afbeelding te gaan, je kan ook iets anders van een ftp server downloaden (exe, pdf, zip, ..). Of je kan denken dat je een JPG download maar stiekem zijn geredirect (want ook dat kan via een onbeveiligde verbinding) naar een image.jpg.exe of iets dergelijks.
Ja dat is mogelijk en ik weerleg dat ook niet. Maar het is ook niet aan te raden om een executable van een FTP-server te downloaden die enkel met onversleutelde verbindingen werkt. En een digibeet die het verschil tussen dubbele extensies niet ziet, zal een FTP-browser pagina "eng" vinden en elders kijken.
De aanvaller hoeft helemaal niet te weten welke viewer jij gebruikt, dat is in veel gevallen namelijk helemaal niet interessant.
Dan heb je het artikel die je gelinkt hebt niet gelezen.
Ze willen het er dus voornamelijk uit slopen omdat het (via Chrome) te weinig wordt gebruikt, en er voldoende prima alternatieve clients te vinden zijn. En daar kan ik het eigenlijk alleen maar mee eens zijn. Grote kans dus dat ze FTPS er ook uit gaan slopen, en je dus gewoon een andere client moet gaan gebruiken als je een van de weinige gebruikers bent die nog wel via Chrome FTP't.
De grote grap is dat ze functionaliteit zoals WebUSB (waarvan iedereen en z'n opoe weet dat het misbruikt gaat worden) wel toevoegen, maar andere, bewezen functionaliteit met de "Het wordt weinig gebruikt"-drogreden eruit gooien.

[Reactie gewijzigd door RoestVrijStaal op 22 december 2019 15:41]

Nogmaals dan wordt er maar een select aantal mensen getargeted. Jouw artikel gaat terug in februari dit jaar. En in Mei dit jaar kwam Google weer met cijfers over de gebruikte versies van Android. Hieruit blijkt dat grofweg 57,9% van de Nougat t/m Pie gebruikers vatbaar waren. Grofweg de helft van de Android userbase die telemeterie niet uit heeft staan. Granted, gebruikers genoeg. Maar genoeg dat er bereid zijn om losgeld te betalen voor data dat al in de cloud staat?
Het was slechts een voorbeeld om aan te geven dat JPG en PNG zeker gevaarlijk kunnen zijn. Dit voorbeeld was van Android, maar er zijn al vaker kwetsbaarheden in JPG en PNG gevonden, ook voor andere besturingssystemen en programma's.

We gaan nu wel offtopic, want het ging over het risico van onveilige verbindingen. Maar met de 2.5 miljard actieve Android devices, al zou daarvan slechts één procent vatbaar zijn dat er nog steeds 250 miljoen. Als je kijkt naar hoeveel mensen er bijvoorbeeld in phishing trappen durf ik best te garanderen dat dat een enorme 'klantenkring' voor criminelen oplevert.
Ja dat is mogelijk en ik weerleg dat ook niet. Maar het is ook niet aan te raden om een executable van een FTP-server te downloaden die enkel met onversleutelde verbindingen werkt. En een digibeet die het verschil tussen dubbele extensies niet ziet, zal een FTP-browser pagina "eng" vinden en elders kijken.
Het is inderdaad niet aan te raden, dat weten jij en ik, maar de gemiddelde internetgebruiker weet dat niet. De gemiddelde huisvrouw zal bij het zien van een download link niet eens weten of dat http, https of ftp is en gewoon maar klikken als er 'Download' of iets anders interessants staat. Er zijn helaas heel veel digibeten die het verschil tussen een dubbele extensie niet zien. Om een échte digibeet te helpen is het dus het veiligst om ftp er maar gewoon uit te slopen.
Dan heb je het artikel die je gelinkt hebt niet gelezen.
Normaals, het is voor de aanvaller niet interessant welke image viewer JIJ gebruikt. Zoals eerder gezegd, mijn link was slechts een voorbeeld om aan te geven dat images gevaarlijk kunnen zijn. Maar om op dat voorbeeld even door te gaan en omdat het eigenlijk voor alle bestandstypen wel kan gelden, als jij een geïnfecteerde afbeelding download op je Windows computer, die een kwetsbaarheid voor Android devices bevat, is dat voor jou niet erg. Maar als je die afbeelding per mail doorstuurt en iemand op een Andriod device opent hem heeft die wel een probleem. Het is voor de aanvaller dus niet relevant welk systeem JIJ gebruikt, als er maar IEMAND is die de afbeelding opent op een kwetsbaar systeem. Of jij dat nu bent, of een andere internetgebruiker die het bestand via via heeft ontvangen, als die dan geïnfecteerd wordt met ransomware is het doel van de aanvaller bereikt.
De grote grap is dat ze functionaliteit zoals WebUSB (waarvan iedereen en z'n opoe weet dat het misbruikt gaat worden) wel toevoegen, maar andere, bewezen functionaliteit met de "Het wordt weinig gebruikt"-drogreden eruit gooien.
'Wordt misbruikt' en 'wordt niet gebruikt' zijn twee verschillende redenen. 'Wordt niet gebruikt' is een reden om te stoppen met een functie als die gevaarlijk of voor te veel onderhoudskosten kan zorgen. Als 'wordt misbruikt' ook een reden is om ergens mee te stoppen kunnen we met heel veel stoppen, want internet, computers, auto's, vliegtuigen, keukenmessen etc. worden allemaal misbruikt door kwaadaardige personen. Dat je niet blij bent met WebUSB kan zijn, maar dat heeft dus eigenlijk helemaal niets met dit onderwerp te maken ;)
Ik heb geen probleem met WebUSB an sich, als WebUSB enkel en alleen apparaten die een WebUSB descriptor aanbieden door de browser benaderd zouden kunnen worden, maar de laatste keer dat ik ermee gespeeld heb, leek het erop dat ook apparaten die geen WebUSB descriptor aanbieden wel benaderbaar waren. Ja dan wordt WebUSB gevaarlijk.
Heb je weleens sudo apt-get upgrade gedaan? Gebeurt standaard via http, en daar is men voorstander van. Waarom? Die packages zijn op een andere manier beveiligt. Een onbeveiligde verbinding hoeft dus niet onveilig transport te zijn. FTP is zeker handig in je labje. Ja er zijn alternatieven en ik zal het niet missen maar hoe meer tools voor de hand, hoe sneller je weer verder kunt met wat je aan het doen was.

[Reactie gewijzigd door Mushroomician op 22 december 2019 16:35]

Die packages zijn niet op een andere manier beveiligt. Ze worden na het downloaden geverifieerd, maar het is prima mogelijk dat je dan een onveilige package binnenhaalt. Het transport is dan dus wel degelijk onveilig.

Waarschijnlijk (ik ben zelf niet heel bekend met hoe apt-get precies intern werkt) wordt de signature/hash van de file na het downloaden gecontroleerd, en wordt de file dus niet uitgevoerd als die niet correct is. Dat is inderdaad een prima manier om bestanden te verifiëren die via een onbeveiligde verbinding gedownload zijn (als de correcte signatures/hashes tenminste wel via een beveiligde verbinding zijn gedownload zodat daar niet mee gerommeld is :P ). Maar dat maakt het transport nog niet veilig. En het is prima dat dat voor een systeem met automatische verificatie zoals apt-get werkt, maar de gemiddelde internetgebruiker gaat niet van een random file de signature/hash controleren.

FTP is zeker handig, je hoort me ook niet zeggen dat het niet handig is. Maar dat neemt niet weg dat FTP een risico kan vormen, ook intern op een netwerk (ook daar is er een risico op een MITM aanval). Beveiligde verbindingen zijn inmiddels voldoende volwassen, ook voor FTP. Het is dus sowieso aan te raden om over te stappen op FTPS of SFTP. Ik denk dat de meeste mensen die bekend zijn met FTP daar wel de juiste tools voor weten te vinden wanneer het niet meer via Chrome mogelijk is.
Waarschijnlijk (ik ben zelf niet heel bekend met hoe apt-get precies intern werkt) wordt de signature/hash van de file na het downloaden gecontroleerd, en wordt de file dus niet uitgevoerd als die niet correct is.
Dat is precies hoe het werkt. Vond het alleen niet nodig om er zo diep op in te gaan. Mijn punt was dat het niet onveilig hoeft te zijn.

[Reactie gewijzigd door Mushroomician op 22 december 2019 19:12]

Gezien het juist over het transport gaat is dat nogal belangrijke informatie. Natuurlijk kun je achteraf controleren of een bestand valide is, maar dat zal het overgrote deel van de gebruikers (zeker degene die FTP'en via Chrome) niet doen. We hebben het er juist over dat het transport onveilig is, en het achteraf valideren van een bestand maakt het transport zelf er niet veilig van. Natuurlijk kun je over een onveilige verbinding ook valide bestanden downloaden, net als dat je over een veilige https verbinding malware kan downloaden.
Enn dat is ansich jammer van apt-get (en yum) ondersteunen ook gewoon regels met https (zolang het certificaat en hostname maar in orde zijn).
FTPS (FTP over TLS) is niet onbeveiligd.

Helaas ook niet ondersteund door browsers...
Aangezien de browser vanwege HTTPS gebruik maakt van een TLS-libary (of zelf TLS implementeert) zou het geen rocket science moeten zijn.
Als het geen hogere wiskunde was, dan hadden ze het toch allang geïmplementeerd als alternatief voor FTP?
Of gewoon niet de browser gebruiken maar iets als SSH via filezilla oid
Raar dat die tab bij downloads 'Arcticles for you' heet. Net als die irritante content op het startscherm op Chrome Android. Ik heb dat laatste steeds met een flag uitgezet, maar Chrome toont nu alsnog een banner om je er dagelijks op te wijzen dat je die Articles toch echt aan kunt zetten. Kijk dan toch naar deze content! Consumeer nog meer!! Nog even er staan suggested downloads in je lijst.

Oh en ik denk niet dat het er zo duidelijker of overzichtelijker op geworden is.

[Reactie gewijzigd door Zenomyscus op 22 december 2019 10:45]

Je weet dat Firefox bestaat? Ook voor Android?
Firefox is zeker een optie. Het probleem is dat sommige Android apps Chrome nodig hebben om te openen, zoals de ABN AMRO app. Als je een betaling doet via Firefox komt er geen app tevoorschijn, maar de internetpagina van de bank
Dat is erg slordig van zo'n grote bank, ik zou er zeker uitgebreid (en publiek) over klagen. Het kleine Triodos doet het wel keurig in Firefox, dus zo moeilijk of kostbaar zal het echt niet zijn.
Ik begrijp het ook niet echt. Ik krijg het gevoel dat de ABN Android als afvalputje ziet. Gezien dat betalen via Android ook al niet meer mogelijk is.
Dat is inderdaad heel irritant en is al tijden een probleem in Android met andere browsers en (bankier)apps die doorverwijzen. Waarom dat zo lastig moet zijn blijf ik een raadsel vinden. Op iOS heb je die issues niet...
Dat heeft iOS niet, maar er is eigenlijk nog steeds geen vrije browser keuze. Natuurlijk is Firefox beschikbaar, maar er is geen enkele manier (zonder jailbreak) om FF als standaard te maken. Daarnaast draait alles op de webkit van Apple zelf.
Op iOS heb je die issues niet...
Klopt. Maar je hebt dan ook geen echte browser keuze op iOS.

Dit zou ik dan ook niet als een probleem van Android willen zien maar eerder eentje die wordt veroorzaakt door de dominante positie van Chromium op de browser markt.
Workaround: https://play.google.com/s...d=com.tasomaniac.openwith

Bij bankpagina's kun je handmatig je URL selecteren en 'open with' aantikken om de URL met een (instelbare) bijbehorend applicatie (zoals je bankapplicatie) te openen. Ik gebruik het zelf icm Opera Mobile voor zowel bankapps als YouTube. Niet naadloos, maar voor mij voldoende om een ander browser te kunnen gebruiken.
Thanx! Ik gebruik zelf een iPhone, maar zal het zeker onthouden.
Eigenlijk is dit eens goed. FTP mag dood. Dat gedrocht heeft het internet lang genoeg geplaagd met zijn actieve en passieve verbindingen en alles wat er bij komt kijken om dat werkend te krijgen. Een protocol dat in de begindagen van het internet op een zondagmiddag in elkaar is gehacked... echt, waarom het nog in gebruik is anno 2019 is me een raadsel.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True