Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties
Bron: eWeek

Waar Microsoft ongeveer een week geleden nog aangaf niet van plan te zijn om een lek te dichten in de manier waarop Windows Media Player 10 omgaat met het ophalen van licenties via internet, heeft het bedrijf nu verklaard toch wel aanpassingen te willen gaan doorvoeren. Het softwarebedrijf zal binnen 30 dagen met een update komen voor zijn mediaspelersoftware. In een verklaring heeft het softwarebedrijf aangegeven dat de exploit niet het resultaat is van een lek in de manier waarop Windows Media Player omgaat met Digital Rights Management-licenties. Daar er echter wel problemen kunnen ontstaan voor enkele klanten, heeft het bedrijf uiteindelijk toch besloten een update uit te gaan brengen. Deze aanpassingen moeten de gebruiker meer controlemogelijkheden geven over de ActiveX-diagloogvensters die verschijnen in het proces van het verkrijgen van een licentie.

Windows Media Player 10 logo (klein)Dit zou vorm kunnen krijgen doordat het ophalen van licenties voortaan altijd zal plaatsvinden in de zone 'Websites met beperkte toegang'. Microsoft zou er ook voor kunnen kiezen om de standaardinstellingen te wijzigen voor de optie 'Automatisch licenties verwerven voor beveiligde inhoud'. Op dit moment is het namelijk zo dat wanneer een gebruiker een via DRM beveiligd bestand wil afspelen, er automatisch een Internet Explorer-venster geopend wordt. Vervolgens wordt een site geladen die de gebruiker door de verschillende stappen heenleidt. Dit proces is gedeeltelijk geautomatiseerd doordat er gebruikgemaakt wordt van beveiligde ActiveX-objecten waardoor zonder tussenkomst van de gebruiker de licentie, maar dus ook andere software, ge´nstalleerd kan worden.

Moderatie-faq Wijzig weergave

Reacties (22)

Als ze het ding nou herprogrammeren om gebruik te maken van een routine die gewoon een bestand ophaalt van een locatie op internet, en dan die file opent als invoer, dan was er nooit een probleem geweest.
maar nee, ze doen het via internet explorer, een programma wat via activeX in staat is het hele operating system over te nemen en wat te diep geintegreerd zit. De gedownloade file wordt door IE vervolgens afgehandeld aan de hand van z'n filetype, dus als het geen DRM licentie bestand blijkt te zijn, maar een programma, tja dan wordt het uitgevoerd. Okee, met een waarschuwingsvenster er tussen, dus vindt MS dat de gebruiker moet snappen dat er iets niet klopt. Daar hebben ze niet helemaal ongelijk in, maar het is wel een stukje erg slecht programmeerwerk!
Belachelijk eigenlijk dat ze in eerste instantie niet een lek wilden dichten - of het nou aan hun software lag of aan dat DRM gebeuren. Getuigd wederom niet echt van een goede zorg voor haar klanten...

Ik denk dat de nieuwe oplossing nog veel frustrerender is voor veel gebruikers. In plaats van een pop up waar ze al gek van werden (anders klikten ze hem niet zo snel weg) krijgen ze nu een complete website waar ze doorheen geleid worden.

Zou een pop-up blocker die website tegenhouden? =)
Dat is juist goed. Frustrerend of niet, veilig gebruik van software begint met de verantwoordelijkheid van de eind-gebruiker.
Veilig gebruik van software begint met een goed ontwerp.

De gebruiker heeft niet gevraagd om een drm-systeem, maar het beperkt wel z'n mogelijkheden en hij is kennelijk ook verantwoordelijk voor het goed functioneren ervan.

Hoe gaat het verschijnen van extra pop-ups het systeem overigens veiliger maken?

Uit het artikel:
"The software company urged customers to treat DRM license downloads like any other Web page attempting to install malicious software."

Nou, lekker drm-systeem dus. :(
Ik ben dus benieuwd welke klanten MS zover hebben gekregen. Aandeelhouders wellicht? Wie kan zo'n invloed uitoefenen op Microsoft?
Microsoft speelt niet alleen in de markt,
real heb je ook nog, quicktime heeft ook zijn dingetje, verder heb je ook nog h264, waardoor je onafhankelijk van MS kunt spelen en eventueel een eigen drm kunt kiezen.
h264 is een video codec, geen drm.
en heeft ook DRM ;)
128Bit AES.
Ik denk niet dat aandeelhouders zich met zulke details bezighouden.

Waarschijnlijk zijn het bepaalde grote klanten geweest, zoals bijvoorbeeld uitbaters van muziekshops die WMP aanraden.
Als je weet hoe de macht ligt binnen Microsoft dan is dit heel simplel.

Binnen MS is de Marketing afdeling DE baas. Alle andere afdelingen zijn ondergeschikt.

Beveiliging en stabiliteit zijn heel lastig te vermarketen omdat de klant dan ook wat extra's moet doen. Dit bots met het idee van een computer moet dombo proef zijn.

Dus wanneer er een veiligheids probleem wordt ondekt wordt er niets mee gedaan. Gewoon geheim houden want dan kost het niets.

Nu is binnen een paar dagen gebleken dat de ontwerpfout van MS DRM tot grote problemen en dus geld gaat kosten heeft men besloten er iets aan te doen.

Ander voorbeelden om de macht van de Marketing afdeling te bevestigen:

De MSN muziek winkel
De patch policy van MS (Pas patchen nadat de exploit is gereleased, daarvoor negeren)
Ontkennen dat er problemen zijn met MS pakket X,Y of Z
Je standaards als administrator werkt onder windows. (Alleen experts in gecontrolleerde omgevingen weten hoe je als user kan werken onder windows)
ActiveX technologie

etc,etc
Waarschijnlijk de regering ofzo... Die zullen het wel niet leuk vinden dat er zulke dingen kunnen gebeuren ;)
Ik snap nog steeds niet warom er voor een DRM beveiliging nood is aan al die activeX.

DRM moet toch nix kunnen uitvoeren, moet toch enkel op internet kunnen opzoeken of dat bestand mag afgespeeld worden en/of het mag gekopieerd worden ja/nee/hoeveel

Ik snap MS toch niet, zoveel geld, zoveel kennis, zoveel macht en op het eind van de dag komen ze af met een waarschijnlijke oplossing van de vorm; we voegen een extra opgepast window toe :s
Het moet juist wel kunnen uitvoeren, de drm, decoder en licentie onderhouder is een executable die zelf upfdates moeten kunnen uitvoeren.

Om het makkelijk te maken gaat mediaplayer zelf op zoek naar de uitgever van de drm, (die kan ergens in een fileheader staan) met eventuele link naar executable. En dat is dus als zover ik het begrepen heb het probleem. Iemand stuurt een malicious mediafile met zogenaamde drm informatie. Mediaplayer probeert de drm software te downen en i.p.v. een drm manager krijg je malware die vrolijk wordt opgestart.
Dat heette vroeger codec en de simpele oplossing daarvoor is dat Microsoft de codecs gaat verspreiden en niemand anders. Wil je je codec / drm onderdeel in WMP hebben? door MS laten certificeren, je krijgt een GUID, en de drm files verwijzen mbv een GUID naar een codec en indien die niet aanwezig is wordt deze opgehaald bij MS.

Klaar. Tenslotte wordt de drm codec een onderdeel van WMP en daarmee van windows (want de com components kun je vanuit iedere COM host aanroepen.). Zit er een malafiede tussen? MS is verantwoordelijk. Zorgen ze er meteen voor dat het goed gecheckt wordt

Het huidige systeem is open voor corruptie.
Verstandig. Als ze draagvlak voor hun DRM willen krijgen zullen ze dit soort problemen wel moeten verhelpen...
Uiteindelijk kun je ook niet vol blijven houden dat de consument altijd de schuld heeft aan besmettingen. Je moet er vanuit kunnen gaan dat je een systeem ook kan vertrouwen....
Als je het zonder zo'n stukje extra code (als bijvoorbeeld in dat ActiveX objectje), dan is het veel te makkelijk te omzeilen. Je hoeft dan alleen maar een progje te maken dat het juiste antwoord geeft op de vraag of het ja/nee/hoevaak gespeeld mag worden. Doe je dat met een stukje code dan kun je allerlei rare verificaties uitvoeren.

Als ze het een beetje handig gebruiken, kunnen ze je ook bestoken met reclame voor bands, nieuwe cd's als de nummers die je luistert...
Dit zou vorm kunnen krijgen doordat het ophalen van licenties voortaan altijd zal plaatsvinden in de zone 'Websites met beperkte toegang'. Microsoft zou er ook voor kunnen kiezen om de standaardinstellingen te wijzigen voor de optie 'Automatisch licenties verwerven voor beveiligde inhoud'.

Hiep hoi ... Ik weet het niet zeker hoor, maar volgens mij is de enige zinnige instelling voor 'Websites met beperkte toegang' dat er helemaal niets mag, en al helemaal geen active-x. Dit zou betekenen dat IE gebruikers hun beveiliging moeten verminderen om licenties te kunnen ophalen. Geen goed idee.

De optie automatisch licenties verwerven uitzetten zuigt ook want dan wordt je elke keer lastig gevallen met popup windows die vragen of je een licentie wilt downloaden. Ik wil gewoon in kunnen stellen dat er niet gedownload wordt EN niet gezeurt.

Het is gewoon geweldig dom dat er voor een licentie actieve inhoud van vreemden op je PC moet worden toegelaten.
Blijkbaar moeten wij een licentie downloaden omdat men ons niet vertrouwd, maar worden wij wel geacht vreemden te vertrouwen met hun 'actieve licenties' ?
Ik snap uberhoupt de overweging van MS niet om die ActiveX-DRM zooi te implemeteren.

MS is niet afhankelijk van Hollywood en de platenlabels. Ze hadden zonder problemen kunnen zeggen dat ze het zelf uit konden zoeken als ze DRM wilden. Laat ze een eigen plugin voor WMP maken ofzo.
Hun software, hun verantwoordelijkheid.
Maarnee, MS heeft nu een mostertje gecreerd die in alle geupdate windows bakken zit en in elk geval een zeer zwakke plek is, wat veiligheid betreft. Dat twerwijl MS al zo geplaagt wordt door security issues.

Dit geeft de consumenten alleen maar meer aanleiding om IE en WMP te bocken in de firewall en iets anders te gebruiken om media af te spelen. Iets wat NIET in het belang van MS is.
Kan iemand me uitleggen wat ActiveX te maken heeft met het afspelen van wat media? Dat is toch pure content, de player die je nodig hebt heb je al, dus een codec heb je niet nodig.

Het zijn dingen zoals dit die ervoor zorgen dat Microsoft het nooit voor elkaar krijgt: je moet geen COM components gaan mixen met content. Dezelfde groep heeft ooit bedacht dat het wellicht goed zou zijn als er javascript in WMA files zou kunnen worden meegestuurd... prompt kwamen daar lekken uit voort... Je zou verwachten dat de mensheid zou leren van zn fouten, maar bij Microsoft hebben ze daar een paar pogingen meer voor nodig kennelijk...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True