Google laat Chrome oude plug-ins weigeren

De Chrome-ontwikkelaars hebben aangekondigd dat de opensource-browser van Google in toekomstige versies verouderde plug-ins automatisch zal uitschakelen. Hierdoor moet de kans op malwarebesmettingen verder worden ingedamd.

Google heeft bij de ontwikkeling van Chrome al een aantal stappen gezet die de veiligheid moeten verhogen, waaronder de integratie van een zichzelf updatende Flash-plug-in en een interne pdf-lezer die binnen een sandbox draait. Ook is het mogelijk om plug-ins individueel uit te schakelen of nieuwe plug-ins alleen toe te laten vanaf domeinen die door de gebruiker zijn ingevoerd.

Volgens Google zijn de aanpassingen aan het plug-in-model van Chrome nodig omdat malwareverspreiders steeds vaker een systeem proberen te besmetten via kwetsbaarheden in browserplug-ins. In de hoop het veiligheidsniveau van Chrome verder op te krikken willen de ontwikkelaars dat de browser verouderde plug-ins automatisch uitschakelt. Ook moet er in toekomstige Chrome-versies een update-dialoog verschijnen om plug-ins eenvoudig te updaten.

Daarnaast zou Chrome een waarschuwing moeten tonen als een plug-in wordt aangeroepen die vrijwel nooit wordt gebruikt. Dit zou nodig zijn omdat dergelijke plug-ins potentieel verdacht zouden zijn. Verder werkt Google samen met Mozilla aan het Pepper-project, een api die het eenvoudiger moet maken om plug-ins in een sandbox-omgeving te laten draaien.

Door Dimitri Reijerman

Redacteur

Feedback • 30-06-2010 17:20 26

30-06-2010 • 17:20

26

Lees meer

Flash Player draait voortaan in sandbox op Safari voor OS X Mavericks
Flash Player draait voortaan in sandbox op Safari voor OS X Mavericks Nieuws van 24 oktober 2013
Flash-plug-in voor Firefox gaat sandbox in
Flash-plug-in voor Firefox gaat sandbox in Nieuws van 7 februari 2012
Google voorziet Chrome 6 van extensie-sync en autofill
Google voorziet Chrome 6 van extensie-sync en autofill Nieuws van 12 augustus 2010
Google gaat Chrome vaker updaten
Google gaat Chrome vaker updaten Nieuws van 23 juli 2010
Firefox verslaat IE9 en Chrome bij hardware-acceleratie - update
Firefox verslaat IE9 en Chrome bij hardware-acceleratie - update Nieuws van 25 juni 2010
EFF en Tor brengen Https Everywhere-add-on naar Firefox
EFF en Tor brengen Https Everywhere-add-on naar Firefox Nieuws van 21 juni 2010
Google geeft Chrome betere pdf-weergave via nieuwe plug-in-api
Google geeft Chrome betere pdf-weergave via nieuwe plug-in-api Nieuws van 18 juni 2010
Flock-browser verruilt Firefox-basis voor Chromium
Flock-browser verruilt Firefox-basis voor Chromium Nieuws van 16 juni 2010
'Google dumpt Windows vanwege beveiligingsrisico's'
'Google dumpt Windows vanwege beveiligingsrisico's' Nieuws van 1 juni 2010
Google haalt bètalabel van Chrome-versies voor OS X en Linux
Google haalt bètalabel van Chrome-versies voor OS X en Linux Nieuws van 26 mei 2010
Chrome-browser krijgt App Store
Chrome-browser krijgt App Store Nieuws van 19 mei 2010
Mozilla geeft plugins eigen proces in Firefox Lorentz
Mozilla geeft plugins eigen proces in Firefox Lorentz Nieuws van 11 april 2010
Ontwikkelaar port Google Chrome-browser naar Nokia N900
Ontwikkelaar port Google Chrome-browser naar Nokia N900 Nieuws van 10 april 2010
Google bundelt Adobe Flash met Chrome
Google bundelt Adobe Flash met Chrome Nieuws van 31 maart 2010
Ook Mozilla ziet niets in Googles Chrome Frame-plugin voor IE
Ook Mozilla ziet niets in Googles Chrome Frame-plugin voor IE Nieuws van 30 september 2009
Meer producten en artikelen
Browsers Google Beveiliging Open source

Reacties (26)

-Moderatie-faq
26
24
19
0
0
0
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 30 juni 2010 17:33
Slimme zet van Google. Ik hoop dat firefox ook met zoiets op de proppen komt, ik vind FF zelf fijner werken dan Chrome nl.
kamustra @Verwijderd30 juni 2010 17:36
Zoiets bestaat al lang bij FF hoor, nooit geprobeerd oudere plugins te installeren? Zolang ze niet compatibel zijn met de FF versie worden ze uitgeschakeld of kunnen ze niet geïnstalleerd worden.
Little Penguin
@kamustra30 juni 2010 18:55
Waar jij op doelt zijn de browser add-ons van Firefox (Fx*). Als je probeert om incompatible Fx add-ons te installeren dan worden deze inderdaad geweigerd, de add-on-auteur moet zelf actief de add-on compatible met deze versie van Fx verklaren - uiteraard gaat men er bij Mozilla van uit dat er dan ook een controle plaatsgevonden heeft door de auteur dat de add-on ook nog goed werkt onder deze nieuwe versie.

De reden voor deze controle op add-on-compatibiliteit is, dat er op het gebied van non-frozen API's nogal wat kan wijzigen tussen de major releases van Fx. Iets dat onder Fx 1.5 nog goed werkte kan onder Fx 2.0 helemaal niet meer beschikbaar zijn. Of iets dan is Fx 3.0 nog een bepaalde aanroep nodig had kan in Fx 3.5 net een klein beetje anders werken waardoor de add-on de API-call net een klein beetje anders moet implementeren.

Wat Google Chrome nu echter zal gaan doen, dat is het actief blokkeren van browser plug-ins (dus ms-silverlight, Oracle/Sun Java, Adobe Flash/PDF), als er veiligheidslekken zitten in de gebruikte (en verouderde) versie van de plug-in. Over het algemeen zal dit geen probleem opleveren, als er maar nieuwere versies van de plugin zijn. Op het moment dat er echter geen nieuwe versie is kan de gebruiker geïrriteerd raken en mogelijk van Google Chrome afstappen - of het dus een erg slimme zet is, dat is de vraag.

*: Zie antwoord 8

[Reactie gewijzigd door Little Penguin op 24 juli 2024 22:28]

Ramon @Little Penguin30 juni 2010 19:11
Volgens mij doet Firefox dat ook al, ik heb ooit wel eens een dialoog gekregen over Java, dat door Firefox uitgeschakeld was wegens "bekende veiligheidslekken".
Little Penguin
@Ramon30 juni 2010 19:23
Hm, ja - nu je het zegt. Even zoeken op internet en ik vond inderdaad de volgende pagina hierover: https://support.mozilla.com/en-US/kb/Add-ons+Blocklist

Ik meende dat dit echter een gehele extentie blokkeerde, maar als ik zo kijk dan zie ik dat men het wel degelijk op versienummer doet, ook zie ik dat men wel degelijk
extenties, thema'ss, and plugins kan blokkeren. Wat Google hier gaat doen is dus niet nieuw, hooguit wat agressiever dan Mozilla het doet.

(In het verleden heeft men zo ook bijvoorbeeld een lekke ms-wpf plugin geblokkeerd - nu je de optie noemt herinner ik me dit weer :z )
watercoolertje
@kamustra30 juni 2010 17:40
Ja maar dat heeft niks met veiligheid te maken met met compatablily ;)
BamSlam_ @watercoolertje30 juni 2010 17:48
Compatabiliteit wordt in deze vaak gebruikt als eufemisme voor veiligheid.
hellfighter87 @Verwijderd30 juni 2010 17:55
ik zou het liever niet zien. ik gebruik een aantal oudere plug-ins omdat de nieuwere versies veranderingen hebben die mij niet bevallen.
Solstice 30 juni 2010 17:26
Ik denk dat dit wel een goede oplossing is. Goede plugins zullen toch wel vaak geupdate worden. Dus dit ruimt zichzelf wel netjes op.
Kevinp @Solstice30 juni 2010 17:33
Vaak werken oude plugins nog gewoon goed, waarom niet uitschakelen wanneer ze oud zijn en niet meer goed werken ipv meteen uitschakelen.
thefal @Kevinp30 juni 2010 17:39
Omdat ze zelfs een risico kunnen zijn als ze wel goed werken! Kijk bijvoorbeeld naar Flash, werkt prima (althans bij mij) maar er worden toch bugs in gevonden waarmee een hacker naar binnen zou kunnen. Ik vind wel dat de gebruiker uiteindelijk zelf moet beslissen wat hij wel en niet veilig acht, maar een melding dat een plugin niet veilig is omdat die oud is vind ik prima.

Aan de andere kant krijg je dan weer hetzelfde als UAC van Windows Vista, iedereen drukt het weg en gaat er vanuit dat het wel goed zal zijn.

Lastigg...
Little Penguin
@thefal30 juni 2010 18:45
Op het moment dat bijvoorbeeld een Flash-player niet meer werkte in de browser (in dit geval Chrome, maar andere browsers zouden dit idee ook over kunnen nemen), dan zal de gebruiker snel naar een update gaan zoeken.

Als men maar behoefte heeft aan de functionaliteit die door de plugin aangeboden wordt...

Aan de kant van de plugin-makers zou men verder het update proces kunnen automatiseren, zodat de gebruiker nooit met het upgrade/download probleem opgezadeld wordt. Het weigeren van oude plugins door Google Chrome is dan alleen maar een extraatje...
YopY @thefal30 juni 2010 19:40
Aan de andere kant krijg je dan weer hetzelfde als UAC van Windows Vista, iedereen drukt het weg en gaat er vanuit dat het wel goed zal zijn.
Daarom is het, vanuit één perspectief gezien tenminste, wel goed dat Google deze stap neemt - dat deden ze al door updates zo 'non-intrusief' (of hoe ge het maar vertaalt) mogelijk te maken (= volautomagisch), maar nu dus ook door oude en mogelijk onveilige addons automagisch uit te zetten.
Remcoder @Kevinp30 juni 2010 17:38
Ik denk eerder dat google alleen de plugins uitschakelt als de plugin een x aantal versies achterloopt.

edit:
Of als deze ontwikkeld is voor een verouderde versie van Chrome. De plugin zelf hoeft dat niet wat code betreft bijgewerkt te worden, maar er hoeft bijvoorbeeld alleen maar aangegeven te worden dat die ook werkt met de nieuwste versie van Chrome.

[Reactie gewijzigd door Remcoder op 24 juli 2024 22:28]

Verwijderd @Solstice30 juni 2010 19:41
Het is schandalig! Ik wil zelf kunnen beslissen welke plug-ins ik weiger, dat hoeft google niet voor me te beslissen!
XIU @Verwijderd30 juni 2010 20:24
Eigen browser maken? Kun je ALLES beslissen...
Verwijderd @XIU30 juni 2010 20:30
Mooi antwoord! Moet ik onthouden als men nog eens kritiek heeft op de strategie van Apple ;)
iLaurens @Verwijderd30 juni 2010 23:22
Waardeloos antwoord juist! Hebben wij als consument de benodigde kapitaal en arbeidskracht om een dergelijk Apple product na te maken? Nope...
Verwijderd @iLaurens1 juli 2010 00:52
Als je het zelf niet kan, moet je niet zeuren. Als ik iets maak, bepaal IK en niemand anders hoe ik dat maak. Aan de rest van de wereld om het al dan niet te gebruiken.
Verwijderd 30 juni 2010 20:08
Ik denk dat een automatische blokkering van "oude" plugins onwenselijk is omdat het nogal eens gebeurd dat een plugin al enige tijd verouderd is (lees: niet meer geüpdate is) maar nog wel prima werkt. En soms is het zelfs zo dat het de enige plugin is met die functionaliteit en er simpelweg geen alternatief is.

Een betere oplossing zou dan een blacklist zijn, waarin plugins worden opgenomen waarvan met weet dat er eventueel veiligheidsproblemen mee zijn. Die worden dan geblokkeerd omdat het anders problemen kan veroorzaken.

Sowieso vind ik dat de gebruiker de optie moet krijgen om alsnog een plugin te gebruiken, ookal is deze te oud of "geblacklist" (hoewel de standaardactie "blokkeren" is, natuurlijk). Verstandige gebruikers kunnen zelf wel kiezen of ze een plugin kunnen of willen gebruiken, ondanks eventuele lekken.
Little Penguin
@Verwijderd30 juni 2010 20:13
Feitelijk is dit ook een black-list, want dat is de enige manier waarop je de verouderde plugin kunt blokkeren - behalve alles blokkeren en een whitelist aanhouden dan.

Aangezien alleen vanuit de serverkant (dus door mensen) geweten kan worden of er een nieuwe plugin out is, danwel of de bestaande een kritisch veiligheidslek heeft, zal het nooit zo zijn dat een iets oudere versie automatisch geblokkeerd gaat worden.
p0st 30 juni 2010 17:40
Inderdaad een prima zet van Google, je kunt niet alle plugins blijven ondersteunen.. Een plugin is tegen software aangebouwd, en niet andersom. Als ontwikkelaars dit nodig achten kunnen ze hun plugin updaten, dat kunnen ze van te voren weten :)
Verwijderd 30 juni 2010 18:25
Daarnaast zou Chrome een waarschuwing moeten tonen als een plug-in wordt aangeroepen die vrijwel nooit wordt gebruikt. Dit zou nodig zijn omdat dergelijke plug-ins potentieel verdacht zouden zijn.
Ik vind een flashplugin die dagelijks gebruikt wordt toch een stuk verdachter dan bijv de xpath plugin die ik 1x per kwartaal gebruik. Gelukkig is flash dan gedekt met automatische updates, maar bijvoorbeeld java niet.

Klinkt verder erg goed. Vroeger gaf ik familieleden nog wel eens firefox. Maar als ze 'm dan nooit updaten, is ie nog minder veilig dan IE. Dan is de auto-update van chrome een hele uitkomst. En dan hoor ik vanzelf mensen klagen als hun favoriete plugin het opeens niet meer doet.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 22:28]

shaloca 30 juni 2010 21:04
Is de nieuwste altijd de beste beschikbare versie?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq