Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties

HP heeft maandag een gratis applicatie voor ontwikkelaars aangekondigd waarmee naar lekken in Flash-applicaties kan worden gespeurd. De tool werkt met alle versies van Flash en moet voorkomen dat websites vatbaar zijn voor datalekken.

De gratis applicatie, SWF Scan, decompileert Flash-applicaties en doorzoekt de code naar mogelijke lekken en andere zaken die volgens Adobes veiligheidsvoorschriften het daglicht niet kunnen verdragen. Volgens HP wordt Flash steeds geliefder bij aanvallers omdat de Flash Player op ruim 98 procent van alle pc's met een internetverbinding is geïnstalleerd. HP heeft bijna 4000 met Flash ontwikkelde webapplicaties bestudeerd en constateerde dat 35 procent niet voldeed aan de best practices van Adobe. Het bedrijf vond onder andere onregelmatigheden met betrekking tot encryptiesleutels en andere gevoelige data die in de Flash-clientcode werden aangetroffen.

Overigens is HP niet de eerste die met een dergelijke tool komt. Eerder al kondigde IBM zijn Ration AppScan aan. Deze applicatie scant automatisch Flash- en Ajax-applicaties op zoek naar veiligheidsrisicio's. De IBM-tool is niet gratis: een jaarlicentie op de standaardversie kost 17.550 dollar.

Moderatie-faq Wijzig weergave

Reacties (27)

Het begint al goed met het downloaden van de tool...je zult je eerst moeten registreren. Gezien het hele idee achter deze tool is het juist van groot belang dat mensen zonder veel gedoe dit kunnen downloaden en draaien. Op moment dat gebruikers moeite moeten gaan doen zoals een compleet registratieform invullen leg je de drempel dermate hoog dat velen er gewoon vanaf zien. Het nut is dan uiteindelijk nihil en dat is heel erg jammer.

Na het registreren krijg je netjes de downloadlink en dan begint de 2e illusie: https://h30406.www3.hp.co...-5TUVE/images/SwfScan.msi
Juist een .msi die dus niet op Linux en MacOS X te draaien is. Voor ontwikkelaars die Linux of MacOS X draaien is deze tool dus nutteloos en dat zijn nogal wat ontwikkelaars (met name MacOS X).

[Reactie gewijzigd door ppl op 23 maart 2009 12:37]

Een 'goeie' linux gebruiker laat zich toch niet afschrikken door een beetje msi? Be creative... wine, virtualbox, ... Als je echt wil kan je wel zonder er over te moete klagen. Een gegeven paard kijkt met niet in de bek... Je kan het hoogstens ergens langs de weg achterlaten :p
Virtual Box is dan wel gratis maar iets als VMWare Workstation/Fusion en Parallels niet. De licentie die je moet hebben voor een Windows versie is ook niet iets wat uit de lucht komt vallen, kost ook geld. Het is dus niet zo heel raar dat men dan van een centrale versie gebruik maakt om e.e.a. in IE te kunnen testen. In de meeste gevallen is het vanuit beheeroptiek ook niet wenselijk dat je developers hebt met administratorrechten om allerlei dingen te installeren (zeker gezien de reputatie dat ze alles onderuit halen). Zo geweldig goed werkt iets als wine, darwine, crossover (wat ook geld kost trouwens) niet. Houdt je nog bar weinig over. Buiten dat zou het ook van goodwill hebben getoond als HP met een Mac versie was gekomen. Adobe heeft ook een Windows en een Mac versie van hun Flash pakket, lijkt me dan logisch dat je ook voor deze doelgroepen de security tool aan biedt. Overigens zou Adobe eigenlijk degene moeten zijn die met deze tool komt, niet HP.
o geweldig goed werkt iets als wine, darwine, crossover (wat ook geld kost trouwens) niet.
Neem aan dat je de tool al onder linux hebt proberen te gebruiken? Zo niet is het natuurlijk een beetje raar om dit te plaatsen.
Als Adobe al wel een lijst met best practices heeft, waarom leveren ze dan niet ook zo'n tool?
Nu komt HP ermee en krijgt daar dan de lof voor, terwijl Adobe door het meeleveren van zo'n soort tool met de ontwikkelomgeving de klachten over Flash zou kunnen verminderen...
sjo, da's nogal een verschil, gratis van HP vs 18K per jaar van IBM.
Groot verschil is natuurlijk dat de IBM tool ook AJAX kan scannen en vast wel een iet wat meer in depth kijkje neemt naar hoe een applicatie in elkaar steekt.

Een best practice scanner zegt nog niet zo veel over veilig alleen over de meest voor de hand liggende fouten worden voorkomen. De IBM tool kan bij mijn weten ook minder voor de hand liggende problemen melden en natuurlijk de AJAX toevoeging is een groot plus punt.

Niets tegen de HP tool hoor, alles is beter dan gewoon maar wat doen en beveiliging moeten leren door je eigen fouten. Zeker het gratis zijn van de tool is gewoon goed, het neemt het excuus dat het niet te betalen is gelijk weg en er kan nu geen flash developer meer zijn die niet in ieder geval deze tool tegen zijn applcaties aan gooit en er voor zorgt dat er geen voor de hand liggende fouten meer in zitten.
Zo te zien is deze tool ook niet vreselijk nuttig. Het komt blijkbaar alleen als msi bestand, windows only dus. Wat dus betekend dat je het niet op je webserver los kunt laten (er van uitgaand dat je niet zo gek bent om windows op een webserver te zetten). Jammer, gemiste kans voor HP, ik heb er nu al niets meer aan.

[edit:] @humbug:
ik denk niet dat veel developers het gaan gebruiken om hun eigen app te checken. De meeste denken dat als het goed loopt, dat het af is. Ik zie voor zulk soort tools vooral een functie op de hosts waarop de flash apps staan. Bv als je een zelf een webserver hebt en je met een security audit bezig bent. Of als je een webhost bent en wilt checken of er geen klaten flash apps met bekende exploits op jouw netwerk gezet hebben. Of voor forums waar je attachments kunt uploaden, zodat swf attachments automatisch geweerd kunnen worden als ze exploits bevatten. Etc etc...

[Reactie gewijzigd door kozue op 23 maart 2009 14:22]

Het feit dat je dit soort tooltjes op een webserver wil draaien zegt eigenlijk genoeg...... Het is de bedoeling dat de ontwikkelaar het voor het verspreiden gebruikt. En raar maar waar, flash applicaties worden voornamelijk ontwikkeld op Windows machines (en soms een mac).
Dit tooltje is ook niet bedoelt om op je website te draaien, je moet het lokaal draaien. Het is idd. windows only, maarja Flash werkt ook alleen op windows (en mac, uitgezondert de player).

Dan nog kun je dit tooltje vast wel onder linux draaien met wine onder linux ;)
Kan deze tool er dan ook voor zorgen dat de flash banners veiliger worden in die zin van: geen false positives danwel daadwerkelijk foute intenties verstoppen? Ik heb recent al een aantal malen meegemaakt dat één enekel banner alle alarmbellen op mijn pc af liet gaan.
Hoe ironisch: bij het openen van die site krijg ik een beveiligingswaarschuwing... |:(
Fijn :s ... ipv dat ze de broncode checken, decompileren ze de gebakken swf...
... dus ik kan zometeen allerlei websites afgaan en checken of ik ze kan exploiten?!
Ja en? Je kan het nu ook al zelf decompileren en checken, dit programma maakt dat alleen wat makkelijker. Een hacker kan zo'n tool ook maken. Dan heb ik liever dat HP dat doet en iedereen de kans geeft te controleren op fouten voordat er misbruik van gemaakt wordt.

Met software als Valgrind kun je ook binaries (zonder broncode) checken op mogelijk exploiteerbare lekken. Daar heb je als programmeur maar rekening mee te houden, je kunt mensen niet verbieden jouw binaries te inspecteren...
je niet aan best practices houden betekend niet dat het exploitable is. Dus in het beste geval kun je checken of je kansen tot exploiten hoger/lager zijn.

ik hou me lang niet altijd aan best practices in code, en met goede reden, maar daar staat wel tegenover dat ik een pittig securitymodel hanteer om eventuele problemen die daardoor ontstaan af te vangen.
En zo'n site kan datzelfde dus ook doen, en kijken of ze voor hun eigen app exploits kunnen vinden. Volgens mij is dat juist de bedoeling, om flash app beheerders aan te sporen hun eigen swfjes te gaan checken, omdat anders hackers het wel voor hun doen. Alleen jammer dat het windows-only is, dat beperkt het nut van de tool een beetje...
Als de tool van HP net zoveel kan en net zo goed is als die van Big Blue, dan kan je al snel 17.550 USD in je zak steken. _/-\o_
Ok, IBM scant ook AJAX applicaties, dus als je die ontwikkeld dan heb je pech...
als je een fatsoenlijke programmeur bent scan je zelf dunkt me?

flash wordt meestal door designers gedaan, dus ik vind het niet zo vreemd dat die op security gebied wat steekjes laten vallen. (daarom snap ik ook niet dat de 'feature' van Silverlight , dat je in .NET kunt coden, zo gehyped wordt, .NET is niet iets wat de gemiddelde designer machtig is).
(daarom snap ik ook niet dat de 'feature' van Silverlight , dat je in .NET kunt coden, zo gehyped wordt, .NET is niet iets wat de gemiddelde designer machtig is).
En ActionScript wel zeker? 8)7 Daarnaast betekend .NET dus C# of Visual Basic, en laat die laatste nou net een taal zijn die helemaal niet ingewikkeld is.

Wat ik bedoel te zeggen is, als ze als designer kunnen kiezen tussen .NET of ActionScript, zou ik voor .NET gaan, omdat je dan ook nog eventueel andere zaken kunt programmeren zonder geheel een nieuwe taal te moeten leren.
designers willen zo min mogelijk programeren, en ze kennen actionscript toch al! (en action script is ook niet ingewikkeld)
designers willen zo min mogelijk programeren.
Als ik uit eigen ervaring spreek denk ik dat dat wel meevalt... Tuurlijk schrijf je je eigen classes om dingen in de toekomst te versimpelen, wil je je timeline niet in een circus laten veranderen en de boel een beetje dynamisch en makkelijk met xml/php de content kunnen aanpassen dan kan je niet om actionscript heen.
Ik ken er ook genoeg die komen idd niet verder dan gotoAndPlay en ifFrameIsLoaded. Maar nee, ik zit inderdaad niet te wachten op een taal als .net.

Ontopic: leuk programma, maar als ik een lek ergens heb zitten weet ik dat zelf ook wel. Volgens mij vergeten bij HP dat sommige programmeurs gewoon lui zijn!? Ook vind ik het bijzonder dat we dit kadootje vanuit HP krijgen, wat is de baat van HP hierbij dat ik goede flash apps maak?

[Reactie gewijzigd door poepkop op 23 maart 2009 11:06]

Een fatsoenlijke programmeur (no offence) die haalt zijn programma door een debugger heen en checkt zelf ook nog of die dingen tegen komt (bijv. tijdens de test fase).
als je een fatsoenlijke programmeur bent scan je zelf dunkt me?
Enerzijds heb je gelijk: een goede programmeur weet zelf wat wel en niet veilig is, en vertrouwt niet blindelings op zo'n tool. Maar ook al ben je nog zo goed, fouten maakt iedereen. Vergelijk het met tools als Valgrind, die worden ook door de beste programmeurs gebruikt om fouten te detecteren. Dan heb ik liever dat zulke software mogelijke fouten eruit haalt dan dat een hacker dat doet...
Nee hoor, peer review is goed en zou moeten gebeuren, maar je vind niet altijd alles. Een reviewer is ook maar een mens ;)
Eens kijken wat dit tooltje doet, ondanks dat ik wel eens simpele games heb gemaakt voor bedrijven op stands die verder niet online staan ben ik wel benieuwd naar de mogelijke fouten die erin zitten :)

Verder mag hp z'n site wel eens nakijken met de sjieke 'PHP has encountered an Access Violation at 023E0AFD' error ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True