Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties

Onderzoekers van Google en beveiligingsbedrijf iSEC Partners hebben een fout gevonden in Flash, waardoor kwaadwillenden persoonlijke gegevens van sitegebruikers kunnen stelen. Aan een oplossing wordt nog gewerkt.

Adobe Flash logo kleinDe Flash-applets zijn kwetsbaar voor aanvallen waarbij tekststrings met een speciaal bepaalde waarde in de originele code van het Flash-filmpje geïnjecteerd worden. Hierdoor wordt het mogelijk om een zogenoemde cross-site scripting-aanval uit te voeren en bijvoorbeeld cookies van de ene website naar een andere site te sturen. Volgens de onderzoekers gaat het om een half miljoen Flash-applets op grote bedrijfs-, overheids- en mediasites die last hebben van de bug, zo meldt The Register.

Volgens Alex Stamos, een van de onderzoekers, kunnen alle internetters slachtoffer worden van de fout omdat aan de buitenkant van een Flash-applet niet te zien is op deze kwetsbaar is. Op dit moment is er nog geen oplossing of bescherming beschikbaar, behalve dan het niet meer openen of laten openen van Flash-bestanden.

Een oplossing voor dit probleem moet bij verschillende partijen vandaan komen. Adobe zal updates moeten regelen voor de Flash-speler zelf, maar Stamos verwacht niet dat daarmee het volledige probleem wordt opgelost. Verder zullen ontwikkelaars van Flash-ontwikkeltools hun software moeten bijwerken, zodat door die programmatuur gegenereerde Flash-code niet langer kwetsbaarheden vertoont. Van belang is dat data die het Flash-bestand binnenkomt goed gecontroleerd wordt.

Moderatie-faq Wijzig weergave

Reacties (36)

Hier verschiet ik niet van.
Ik heb weet van minstens 1 fundamentele fout in Actionscript 2.0 (waarbij de compiler er een totaal andere redenering op nahoudt dan wat at run-time te zien is)
Dat dit in een 2.0 versie mogelijk is, kan ik met mijn verstand niet bij.
Wat bedoel je nou?
- 'ik heb al één fout gevonden, dus zal er vast nog wel één in zitten'
- 'ik heb nog maar één fout gevonden, dus zal er vast nog wel minstens één in zitten'

Het is een product met honderdduizenden, vast wel miljoenen regels code. Dat is vanzelfsprekend niet foutloos. Jij vindt een fout in de rendering, Tweakers bericht over een fout in de security. Shit happens. Misschien is het belangrijker hoe Adobe er mee om gaat? Concurrent MS wordt er vaak van beschuldigd bugs onder het tapijt te vegen (met name waar het over security gaat). Adobe steekt de laatste tijd veel geld om hun populariteit te vergroten onder ontwikkelaars. Veel van die goodwill kunnen ze met dit soort grappen kwijtraken, of juist versterken. Benieuwd hoe ze dit uitspelen!
- 'ik heb al één fout gevonden, dus zal er vast nog wel één in zitten'
Er bestaat literatuur over testen en fouten vinden, waarin precies deze stelling is onderbouwd:
'In elke review-ronde vindt je niet meer dan de helft van de fouten'
(of woorden van gelijke strekking)
Dit is een belangrijke stelling om het minimaal benodigde aantal review-en-herstel-cycli te kunnen schatten, gegeven het aantal fouten dat de opdrachtgever toelaatbaar acht.
Voor deze keer supporter ik voor SilverLight/MoonLight.
Waarom? Wel, concurrentie zorgt ervoor dat er geen zwakke centralisatie is.
Nu kunnen vele personen hiermee worden geconfronteerd. Met SL/ML als concurrentie, zullen er minder worden aangevallen, en zijn het aantal exploits ook relatief lager.
Dat slaat natuurlijk nergens op. Je verhaal zou opgaan wanneer gebruikers de ene of de andere plugin zouden installeren. Nu krijg je juist dat mensen de flash player en de silverlight player installeren. De mogelijkheden voor exploits zijn dus eerder verdubbeld (twee implementaties) terwijl de installbase hetzelfde blijft.

Een echte oplossing zou zijn wanneer er gewoon een open standaard zou komen die door meerdere aanbieders geïmplementeerd zou worden. Dan kun je gewoon de player kiezen die je zelf wilt en toch alle content afspelen.
Precies, dus in plaats van Silverlight/Moonlight en Flash dus SVG + HTML5 (ivm de audio en video opties van deze standaard).

Alleen op basis van open standaarden is gezonde concurrentie mogelijk, zoals wel blijkt uit de hernieuwde browseroorlog. Microsoft is nu tot actie gedwongen omdat Firefox, Opera en Safari actief aan het zagen zijn aan het bijna monopolie van IE.

De standaarden zijn er (SVG et al) en van de grote browsers implementeren Firefox,Opera en Safari deze al voor een groot deel...
silverlight heeft nog wat tijd nodig om in te burgeren. geef het een jaartje en dan kent in ieder geval iedereen het in tegenstelling tot nu.

verder vind ik silverlight meer potentie hebben als flash maar dat is een ander verhaal.

edit:
iets anders/beter geformuleerd.

[Reactie gewijzigd door Crysania op 24 december 2007 16:35]

Om eerlijk te zijn heb ik het liefst dat Silverlight faalt (en dat Flash veel minder marktaandeel krijgt), dit ten gunste van open standaarden, zoals SVG.

Nu is er op SVG best wel het een en ander aan te merken, maar in mijn opinie is het een veel beter alternatief voor het proprietaire Flash of Silverlight.
Met alle respect en ik ben het eens over SVG icm goeie video-elementen in html etc., maar Silverlight specs zijn dacht ik open (.Net iig wel), alleen de uiteindelijke 'renderer'/interpreter is closed. Dat is jammer, maar Moonlight zal er denk ik relatief snel genoeg komen om dat probleem de wereld uit te helpen. En Microsoft werkt moonlight alles behalve tegen.
Volgens Wikipedia is .NET is deels open. Dat gedeelte wat ECMA/ISO gestandaardiseerd is wel; voor dat gedeelte eist ISO dat patenten onder redelijke en niet discriminerende termen beschikbaar zijn. Het gedeelte van .NET dat niet in ECMA/ISO is beschreven is - o.a. Windows Forms en ASP.NET - is echter niet te implementeren zonder risico te lopen aangeklaagd te worden voor patentinbreuk - onder andere door Microsoft.

Van Silverlight zelf is een klein stukje beschikbaar als Open Source (niet GPL-compatibel overigens), de rest is gewoon totaal gesloten - zoals gebruikelijk bij Microsoft. Novell mag echter stukjes van alle gesloten documentatie inzien, en het MONO-team mag daar met hulp van Microsoft een (gesloten) binary voor compileren, die verspreid mag worden onder Linux gebruikers.
En Microsoft werkt moonlight alles behalve tegen.
Microsoft is maar al te blij dat ze eindelijk een goede smoes hebben om Linux-gebruikers die tot nog toe totaal niks met .NET te maken hoeven hebben en het niet nodig hebben, dit platform alsnog als een vereiste op het Linux-platform te krijgen / door de maag te splitsen.
"Silverlight specs zijn dacht ik open (.Net iig wel)"

Nou, datzelfde geldt toch ook voor Flash en Flex (de programmeertaal die door Adobe bovenop Flash gelegd is)? Alleen de player is proprietary, maar voor de rest timmert Adobe hard aan de weg in de open source-hoek.

Zelf menen ze ong. twee jaar voorsprong te hebben op MS, die die tijd nodig zouden hebben om met Silverlight een vergelijkbare browser-penetratie te bereiken als Flash (meer dan 90%, is me verteld). Ondertussen hoorde ik ergens de ambitie van Adobe om binnen nu en een jaar een miljoen Flex-ontwikkelaars te hebben, naast dat Flash zelf al de de facto standaard is.
Hoe kun je een nog niet afgerond product dat (nu nog) slechts een subset bevat van de mogelijkheden van zijn directe concurent beter vinden? Dat vroeg ik mij af toen ik je post doorlas. Maar toen ik in je profile zag dat je bij Avanade werkte begreep ik het ;)..
Wat kan flash op dit moment wat in silverlight niet mogelijk is?

1 van de belangrijkste dingen die goed vind aan silverlight is dat het mogelijk is om buiten je "eilandje" te kunnen communiceren met andere html elementen waar flash niet buiten z'n flash object kan komen.

verder is het vooral wachten op 1.1 wat echt een verschil kan maken.

het grootste probleem van silverlight is imo de grote achterban van designers die WEL om kunnen gaan met adobe tools en niet met ms tools.

[Reactie gewijzigd door Crysania op 24 december 2007 16:35]

Flash kan zeker wel communiceren met de rest van de website, hier moet je echter javascript voor gaan schrijven. Je kunt gewoon javascript functies vanuit flash aanroepen en vice versa.
Silverlight 1.0 is al afgerond. 1.1 is nog in ontwikkeling.
Op de website van The Register wordt ook niets vermeld over Gnash (link: http://www.gnu.org/software/gnash/). Zou Gnash er ook vatbaar voor zijn, of is samen met het reverse engineeren deze bug gelukkig niet in de open-source variant geslopen?

Zo te zien vraagt iemand het op de mailinglist het zich ook af, maar is er nog geen sluitend antwoord: http://lists.gnu.org/arch...ash/2007-12/msg00018.html.
* mithras wacht maar even af :)
Ja, dat vroeg ik mij ook gelijk af. Helaas is gnash ver van compleet en ondersteunt het amper wat. Flash is geen open standaard zoals PDF toch? Gnash zou ik wel gebruiken als het een beetje goed was, maar nu zit ik aan Flash 9 Beta vast op Linux :'( Er is ook niets dat Adobe dwingt om actiever te gaan ontwikkelen voor Linux, want je hebt nog geen Silverlight voor Linux, en het duurt nog wel even voordat die port af is. Bovendien wordt de port gemaakt en beheert door het Mono team (in opdracht van Microsoft).
Officieel is het misschien geen beta meer, maar naar mijn ervaring in de praktijk wel.

Een keer in de zoveel tijd besluit flash bij specifieke flash-applets (waaronder groten namen als youtube, of eigenlijk elke flash-based media-player) dat tie er niet meer zoveel zin in heeft. Heel firefox wordt als gevolg daarvan zo traag als stront door een trechter. Het killen van de flash-programmatuur door middel van een 'killall npviewer.bin' maakt in dat geval de browser weer stabiel. In enkele gevallen kan door het herladen van de pagina ook de flash-content nog gered worden, maar meestal is het gewoon beter om de browser opnieuw op te starten.

Op zich zou dit allemaal nog wel te overleven zijn, waar het niet dat hele kuddes webmasters het tegenwoordig noodzakelijk vinden om in elke f*cking pagina flash-zooi te frotten, zelfs in gevallen waar een animated gifje, wat CSS, of een simpel javascriptje zou volstaan; of gewoon helemaal niks aangezien 80% van de flash content toch niks bijdraagt aan de pagina. Daardoor blijkt in de praktijk dat, door het gebruik van flash, de browser op elk willekeurig moment instabiel wordt, zelfs wanneer geen pagina's geopend zijn waar flash ook enige nuttige inbreng heeft.
Bij mij crasht de flash speler constant op windows, in zowel FF als IE en dit vooral op flash filmpjes ala youtube en garagetv. Al getest met V8 en V9 en blijft aanhouden, zeer vervelend en ik vind geen oplossing
Betekent dit dat als je nu nog ontwikkelt in zeg flash 7 of flash 8 dat je moet upgraden naar cs3 of zou adobe ook de oude versies patchen?
Het gaat hier over de "Flash Player". Niet Flash het animatie pakket dat je moet kopen.
Er staat duidelijk in de nieuwspost dat de ontwikkel tools aangepast moeten worden, om code te schrijven die de bug niet kan veroorzaken.
Van belang is dat data die het Flash-bestand binnenkomt goed gecontroleerd wordt.
Waarom wordt deze openstaande deur toch weer met veel geweld ingetrapt? Userinput moet je toch altijd goed controleren? Of sla ik de plank nu volkomen mis? :?
Je slaat de plank helemaal niet mis, als het probleem veroorzaakt wordt door domme fouten van een programmeur dan kun je het platform (in dit geval Flash) helemaal niets verwijten.

Helaas veegt iedereen graag zijn/haar eigen straatje schoon en maakt er al snel een probleem van een ander van. (Zo als bijvoorbeeld het virus/spy/malware probleem waar de ISP voor bescherming zou moeten zorgen, en dat terwijl het de verantwoordelijkheid is van de bouwers van besturingssystemen en de gebruiker zelf natuurlijk)
hier bied de noscript plugin voor firefox toch uitkomst ?
en zo enkel betrouwbare flash apps te laten runnen ...
True, maar hoe weet je of een filmpje betrouwbaar is? Als ik iets op youtube of newgrounds wil kijken heb je al snel Javascript weer aanstaan en dan zou de besmetting dus kunnen plaatsvinden.
Ben benieuwd of TRUE al de flash applets van de tweakers site afhaalt totdat er maatregelen zijn genomen....
Wij hebben helemaal geen flash 'applets' op ons domein staan, en de flash-banners die hier getoond worden zijn hooguit een security risk voor doubleclick, niet voor ons omdat wij ze niet hosten ;)
TRUE doet niets met Tweakers.net

TRUE biedt Tweakers ruimte in de serverruimte en een verbinding naar het Internet (en wat prik zodat de servers ook nog aan kunnen :))
Firefox plugin FlashBlock wellicht een workaround?
Dat is een slechte workaround.

De beste oplossing is dat Adobe zo snel mogelijk een update maakt.
Hoezo slechte workaround?? Weet je wel wat een workaround betekent? Als Adobe met een oplossing komt, is er dus geen workaround meer nodig, maar is er een echte oplossing.
Grappig artikel temeer ik lees dat Adobe Flash "afgelopen week" heeft ge-update... :D

http://www.macworld.co.uk...ndex.cfm?RSS&NewsID=20015

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True