Flash Player draait voortaan in sandbox op Safari voor OS X Mavericks

Apple heeft samen met Adobe een sandboxomgeving gebouwd voor de Flash Player-plug-in. De Flash-sandbox is beschikbaar in OS X 10.9 Mavericks en moet het besturingssysteem beter beveiligen tegen malware-aanvallen.

Adobe Flash Player Door de Flash Player in een sandbox te plaatsen, krijgen Flash-applicaties en -games minder rechten. Zo kan de plug-in op slechts enkele specifieke lokaties bestanden opslaan en manipuleren. Ook krijgt de Flash-plug-in minder toegangsmogelijkheden tot andere apparaten en zogeheten ipc-kanalen. Deze ipc-kanalen worden binnen een besturingssysteem gebruikt voor interprocescommunicatie tussen meerdere threads. Verder zijn de netwerkrechten van de Flash Player ingeperkt.

Adobe stelt met de sandboxconstructie een exta beveiligingsmuur te hebben gebouwd om de dikwijls kwetsbaar gebleken Flash-plug-in beter te beschermen tegen aanvallen. De zogeheten Flash Player Sandbox is standaard aanwezig in de Safari-versie die in de gratis te downloaden OS X 10.9 Mavericks is opgenomen.

Het plaatsen van Flash in een sandbox is allerminst nieuw. Onder andere Googles Chrome, Mozillas Firefox en Internet Explorer van Microsoft bieden deze veiligheidslaag al langer aan.

Reacties (63)

RHochstenbach 25 oktober 2013 15:54

Als een platform kwetsbaar is, hoeft dit niet per sé het besturingssysteem of de browser te zijn. Het zijn ook de plugins die kwetsbaar kunnen zijn. Als voorbeeld de oudere Java versies, die kunnen een volledig gepatcht systeem kwetsbaar maken omdat die veel rechten hebben op het besturingssysteem. Zo geldt dit ook voor Flash en andere plugins. Sandboxing is veel veiliger imho.

Soldaatje 24 oktober 2013 19:45

Zucht, Flash, kunnen we daar nou niet eens mee op houden?
Is HTML5 niet genoeg ofzo?

Wolfos @Soldaatje • 24 oktober 2013 20:00

HTML5 is nog steeds niet goed voor games. Maar games hebben toch altijd meer baat bij een native plugin zoals Unity dan bij Flash.

zap8 @Wolfos • 24 oktober 2013 20:40

Flash kan/ kon overigens nog veel meer, bv video streamen. Het was vooral een gemakkelijke ontwikkelomgeving voor grafisch ontwerpers. Het grootste en belangrijkste voordeel van Flash is/ was echter dat het cross platform compatibiliteit. Eenmaal iets in flash gemaakt zag het er overal hetzelfde uit. Hoewel dat bij HTML5 ook het geval zou moeten zijn, is tot op de dag van vandaag nog steeds niet het geval.

David Mulder @Wolfos • 24 oktober 2013 20:04

Om te zeggen dat het niet goed genoeg is lijkt me een beetje kort door de bocht als ik zo iets bekijk: http://www.unrealengine.com/html5/

Verwijderd @David Mulder • 24 oktober 2013 20:19

Huh? Waarom is mijn up-to-date Chrome niet supported? Confused..

WoutervOorschot

@Verwijderd • 24 oktober 2013 20:40

Omdat het project van unreal wordt gesponsord door Mozilla, ze zeggen dat je FF moet downloaden om er gebruik van te maken.

David Mulder @WoutervOorschot • 24 oktober 2013 20:46

Gesponsord is een groot woord, Mozilla heeft ze geholpen en er is gebruik gemaakt van een speciale backwards compatible functie van firefox. Hoe dan ook, de echte reden dat het niet in chrome werkte was omdat het in chrome crashte vanwege een bug in chrome, mogelijk is die reeds opgelost maar omdat ik momenteel in belgie zit met beperkt internet kan ik het even niet uitproberen. In ieder geval, voor de nieuwsgierige:

Q: Which browsers are supported?

A: The following are the currently known behaviors, which may change as new technologies are advanced by each browser in future iterations.
- Release Firefox is recommended. It can be downloaded HERE
- Chrome currently crashes, but is expected to be resolved by the Chrome team soon.
- Internet Explorer does not support WebGL in current versions.
- Opera WebGL must be manually activated, however it is not currently compatible with Epic Citadel.
- Safari WebGL must be manually activated. While Epic Citadel is not currently compatible with Safari, we are investigating adding support in the future.

WoutervOorschot

@David Mulder • 24 oktober 2013 20:48

ok, ik zag alleen dat ik FF moest downloaden volgens de website, en wanneer dan in de footer een groot Mozilla logo staat was dat mn conclusie...

David Mulder @WoutervOorschot • 24 oktober 2013 20:57

Haha, Mozilla heeft echt niet het geld om een bedrijf zoals unreal te sponsoren

Er is een project genaamd emscripten die het mogelijk maakt om desktop applicaties te compileren naar javascript en een paar mozilla gasten waren bezig geweest om ervoor te zorgen dat het in firefox ongeveer 2x zo snel draaide door structurele aanpassingen (zonder een snelheids verlies in andere browsers) en diezelfde gasten zijn toen in contact gekomen met unreal en hebben ze een kleine week geholpen (unreal werd naar de browser geport in 4 dagen

)

SomerenV @David Mulder • 24 oktober 2013 22:10

http://i.imgur.com/VV9PpCJ.jpg Net even getest en met de laatste Chrome werkt Epic Citadel gewoon. Voorheen crashte Chrome inderdaad

Wolfos @David Mulder • 24 oktober 2013 22:35

Dat is een demo die geoptimaliseerd was voor de iPhone 3GS, die nog maar net 30FPS weet te krijgen op een redelijke PC. Een native plugin zou in principe gewoon een game als Crysis 3 kunnen spelen in de browser.

David Mulder @Wolfos • 24 oktober 2013 23:16

Waar. In. De. Wereld. Heb. Je. Het. Over?

Heb je die site uberhaupt geopend? Dat is de volledige unreal engine praktisch ongeoptimaliseerd (port van 4 dagen) in javascript. Die op mijn Intel HD 4000 kaart gewoon draaide op een nette framerate (en zou ik m'n browser switchen naar m'n dedicated GPU zou ie nog beter draaien). Dus op diezelfde manier zou je ook een game als crysis in de browser werkend kunnen krijgen. Nu zou het realistisch meer tijd kosten, want je wilt niet iedere keer dat je de game opend alles opnieuw downloaden en dus zou je dingen die nu direct inladen dan progressief moeten maken en zo nog veel meer zaken moet optimaliseren voor het web, maar dat haalt niet weg dat het gewoon goed genoeg is voor games zonder de gevaren van native plugins (want die exposen vaak systeem API's al dan niet direct, terwijl bij browsers er heel bewust is over nagedacht wat er wel en niet word geexposed).

Wolfos @David Mulder • 25 oktober 2013 13:08

Jij snapt dus niet dat je in de Unreal Engine misschien een kubus kan renderen op 60FPS maar dat dat dan niet betekend dat je ook Gears of War 3 kan renderen?

Dit is een demo die geoptimalizeerd is voor de iPhone 3GS, een oude mobiele telefoon. Ja, leuk dat dat ook op PC draait, maar ondertussen kunnen we de laatste games (die grofweg 200x meer geometry en drawcalls zullen hebben) ook gewoon in de browser draaien maar dan met een plugin.

[Reactie gewijzigd door Wolfos op 26 juli 2024 16:05]

David Mulder @Wolfos • 25 oktober 2013 13:59

Heb je zelfs m'n link geopend? Heb je uberhaupt enig idee waar je over praat? Zoals ik al in m'n comment aangaf is dit een niet geoptimaliseerde versie van een javascript port van unreal engine. Niks iphone 3GS. Niks kubus op 60FPS renderen. Gewoon epic citadel ongeoptimaliseerd op 60fps. Dat is waar we het over hebben. 4 dagen werk van maar 3 of 4 man. Op diezelfde manier zou je dus wel degelijk ook grote spellen in HTML5 kunnen programeren, want dan zou je, net zoals op de desktop ze expliciet kunnen optimaliseren voor het platform. Nu, zoals ik ook al eerder aangaf is javascript wat betreft CPU berekeningen in z'n meest efficiente geva nog steeds 50% trager dan native, maar WebGL is transparant genoeg (te transparant mogelijk) dat je op dat vlak bijna native speeds haalt, dus samen is dat genoeg om een flink goeie game ervaring op te zetten... en dat zonder de gevaren van executables.

MacWolf @Wolfos • 24 oktober 2013 22:46

HTML5 is nog steeds niet goed voor games.

Ben ik het niet mee eens, maar mijn inziens is het probleem met HTML5 dat er nog weinig goede tooling is om bijv. game-ontwikkeling eenvoudiger te maken, hoewel ik geloof dat Adobe daar bijv. wel mee bezig is.

Zo zit ik momenteel in de beta voor Heroes Online en voor zover ik kan zien is alles gemaakt op basis van HTML5 / JavaScript.

Gamebuster @Soldaatje • 25 oktober 2013 14:39

Nee, HTML5 is gewoon niet geschikt voor games. Ja je kan het ermee maken, maar tig zaken binnen de browser zijn niet geschikt ervoor.

Herko_ter_Horst

24 oktober 2013 19:38

Voor de duidelijkheid: de sandbox is aanwezig, maar dit betekent niet dat Flash standaard geïnstalleerd is, daarvoor moet je bij Adobe zijn.

zyberteq @Herko_ter_Horst • 24 oktober 2013 20:03

En als ik het zo lees, is de sandbox alleen aanwezig met Safari. Geen woord over de andere browsers. Chrome doet zijn eigen ding natuurlijk, en Firefox en Opera doen dat ook weer anders

Thomas18GT @zyberteq • 24 oktober 2013 20:13

"Het plaatsen van Flash in een sandbox is allerminst nieuw. Onder andere Googles Chrome, Mozillas Firefox en Internet Explorer van Microsoft bieden deze veiligheidslaag al langer aan."

Verwijderd 24 oktober 2013 20:21

Eigenlijk zouden alle browsermakers moeten stoppen met de ondersteuning van Flash. Nu, in een keer.
En dan zien of de sites overstappen op html5 in a hurry.
Flash was een goed idee jaren geleden, maar heeft ook de developers/eigenaars van sites in slaap gesust. Het werkt, dus waarom veranderen?

zap8 @Verwijderd • 24 oktober 2013 20:44

Het werkt, dus waarom veranderen?

Verandering vergt investering, wat weer geld betekent. En vooral in tijden van crisis let je extra op je geld.

SvMp 25 oktober 2013 01:36

Waarom stopt Apple niet met Flash onder OS X? Onder iOS wordt flash al niet meer ondersteund.

xoniq @SvMp • 25 oktober 2013 09:04

Omdat het voor een aantal filmpjes bij YouTube nodig is, voor sommige mensen binnen een bedrijf hebben ze nog een applet nodig, en ga zo maar door.
Als ze het blokken dan raken ze juist per definitie mensen kwijt.

necessaryevil 24 oktober 2013 19:40

Waarom niet gelijk de hele browser in een sandbox draaien?

joppybt @necessaryevil • 24 oktober 2013 19:43

In feite draaien alle websites al in een soort van sandbox die we 'Browser' noemen. Alleen blijkt in de praktijk dat de sandbox toch niet helemaal dicht is.

David Mulder @joppybt • 24 oktober 2013 20:04

De browser sandbox'en zijn ondertussen redelijk extreem goed. Vandaar ook dat steeds meer aanvallen zich op plugins richten en dat Google bijvoorbeeld in chrome besloot om plugins in z'n geheel op flash na te disable'en. Hoe dan ook, de plugins proberen weer zelf hun eigen sandbox te bouwen, maar dat moet iedere plugin apart weer doen en om mij onduidelijke reden heeft adobe met flash daar relatief meer moeite mee dan microsoft/apple/google/(opera) met html5. Waarschijnlijk komt het gewoon neer op mankracht/open source zijn. En sowieso is flash niet de enige populaire plugin.

David Mulder @BoringDay • 24 oktober 2013 20:55

Voor de opkomt van html5 was flash, snel en stabiel. Veel beter dan javascript toen ter tijd was. Ondertussen verslaat javascript flash op snelheid en op stabiliteit, maar dat is pas iets van het laatste jaar, misschien twee jaar. Plus flash was cross browser exact hetzelfde, terwijl als je normaal HTML/JS gebruiktte je toch veel tijd kwijt was aan het apart aanpassen per browser (is nu minder, maar nog steeds het geval).

Hoe dan ook, komt er wel op neer dat flash een geweldige plugin was. Ook geen andere manier om het te omschrijven. Hij was enerzijds simpel genoeg dat Jan en alleman er websites in kon maken en anderzijds snel en uitgebreid genoeg dat er veel spellen in zijn geschreven. Ik bedoel maar, Apple heeft flash flink zitten zwart te praten, maar echt waar, dat was zwaar onverdiend en onterecht*. Zonder flash durf ik redelijk zeker te stellen dat de browser en HTML5 nu niet zo'n belangrijk platform zouden zijn geworden.

* Ja, flash is redelijk zwaar om te draaien op mobiele apparaten, maar net voordat flash for mobile werd gediscontinueed heb ik er nog een keer uitgebreid mee "gespeeld" en werktte het toch echt wel goed. Beter op veel vlakken zelfs dan de android Browser (toen was Chrome volgens mij nog niet eens uit). Dus ja, Adobe moest het discontinue'e omdat zonder Apple's toestemming ging niemand iets in flash ontwikkelen, maar dat betekend niet dat flash op mobile onmogelijk was.

blouweKip @David Mulder • 25 oktober 2013 04:26

Probleem met flash was dat het gewoon slecht op alle systemen behalve windows draaide, dus toen mobiele platformen groter werden werd dat pijnlijk duidelijk en was er iets beters nodig.

Verwijderd @BoringDay • 24 oktober 2013 20:37

Zo onsuccesvol dat 90% van de websites het gebruikte. Waarschijnlijk was jij laat op het Internet feestje want Flash was wel degelijk een revolutie toen het voor het eerst uitkwam.

nixx @BoringDay • 25 oktober 2013 11:57

Krijgen we die flash-haters weer. Wordt er een beetje moe van eerlijk gezegd. Flash heeft wel degelijk voor een creatieve revolutie op het web gezorgd en ik ben blij dat het nog steeds ondersteund wordt.
Dat ook Apple toch het nut in ziet van deze technologie blijkt wel weer dat ze actief meedoen met het zoeken naar oplossingen voor security-issues.

jctjepkema @BoringDay • 24 oktober 2013 20:31

het is juist verschrikkelijk populair geweest en dus ook zeer succesvol, enige probleem is dus dat het idd traag, instabiel en lek is. Maar het concept was goed alleen html 5 heeft het in mijn opinie tot nu toe duidelijk verslagen!

xoniq @BoringDay • 25 oktober 2013 09:00

En toch was het destijds het enige wat je had wat enigszins goed te gebruiken was multi-platform.
Met de komst van HTML5 neemt dat sterk af.

Flash was een echte resource hog, maar voor zaken als YouTube, en andere sites die het toch wel vereisen, had je het nou eenmaal nodig en zo werd Flash meer en meer mainstream.

jctjepkema @BoringDay • 25 oktober 2013 13:20

Ik had er ook een hekel aan hoor, het was alleen zoals CRXDelSol zegt de enige mogelijkheid om het op meerdere apparatuur te kunnen gebruiken. En daarnaast als het werkte werkte het soms goed...

-weenie- @joppybt • 24 oktober 2013 19:49

En de browser is ook weer deels afhankelijk van system-calls voor het renderen/ondersteunen van bepaalde zaken, afbeeldingsformaten etc. Daardoor kan er daar weer een opening zijn naar het OS.

//Correct me if i'm wrong.

kaya.md @necessaryevil • 25 oktober 2013 12:46

Volgens mij bestaan die al. Dragon browser van Comodo (firewall) heeft na installatie 2 shortcuts, een normale en een virtual browser.

Verwijderd 24 oktober 2013 20:15

Voor mijn verouderde Flash versie zou ik ook best willen dat deze standaard in een sandbox draait. Bij Chrome heb je daar geen last van omdat die standaard de nieuwste Flash versie inschakelt. Dit zal vast kunnen met Sandboxie maar is de standaard bescherming in browsers hetzelfde als in Sandboxie?

[Reactie gewijzigd door Verwijderd op 26 juli 2024 16:05]

skatebiker 24 oktober 2013 20:25

Ik snap ook niet dat veel websites nog steeds alleen Flash aanbieden voor filmpjes zoals CNN en de Publieke Omroep. Zelfs bij Youtube werkt HTML5 lang niet altijd.
Ik heb op zowel Safari, Firefox als Chrome een 'click to flash' plugin gezet.

Van mij mag Flash dus in een sandbox draaien. En Java (in de browser) ook.

Morphix @skatebiker • 24 oktober 2013 21:12

Publieke omroep als in npo of nos bedoel je? Want beiden werken al tijden perfect zonder flash.

Titan_Fox 24 oktober 2013 22:23

Voor de PC draait Adobe Flash al sinds Firefox 3.7 in een sandbox; de zogenaamde "plugin-container.exe".

Ik kan niet zeggen dat het er daardoor beter op is geworden. Flash wordt met iedere update trager. Als ik na een herstart een pagina wil openen waar Flash-content in staat, begint de harde schijf als een gek te ratelen om het geheel in het geheugen te laden. Vaak is het dan ook onnodige troep zoals advertenties o.i.d.

Het is echt ergerlijk. In de tijd dat die harde schijf staat te ratelen (5 - 10 sec) blijft de hele browser hangen. Meestal komt er dan ook een bericht dat de plug-in is vastgelopen en of ik wil wachten of deze wil afsluiten.

Wat mij betreft mag Adobe Flash definitief worden omgeruild voor iets beters.

Verwijderd @Titan_Fox • 25 oktober 2013 00:09

Geen wonder dat een MacBook zonder flash ruim 50% langer mee gaat tijdens t browsen.

Ik heb t niet eens meer in safari in gebruik, adblock is nog nooit zo overbodig geweest.

Titan_Fox @Verwijderd • 25 oktober 2013 00:30

Ik gebruik Adblock om de reclame in Youtube-video's te blokkeren. Je moet alleen Adblock configureren dat ook niet-opdringere advertenties worden geblokkeerd. Ik heb deze blocker laatst een keer uit gezet en er was direct geen beginnen meer aan met internetten.

Knettergek wordt je van al die troep die ze op je scherm pompen ...

Verwijderd @Titan_Fox • 25 oktober 2013 17:08

Kun je ook SMTube voor gebruiken, een YouTube browser voor de SMPlayer. Heb je Adblock niet nodig.

SunnieNL

@NEn • 24 oktober 2013 20:30

Nee, het product hoeft niet persé brak te zijn. Het kan ook zijn dat het product doet wat het hoort te doen, maar het OS een gat heeft. Als het product een aanroep doet op het stuk waar het OS een gat heeft, dan kan alsnog een probleem ontstaan.
Denk bijvoorbeeld aan de hack op iOS5 die ook via een PDF kon worden geactiveerd in de mobiele safari. Dat was gedeeltelijk door een probleem met de PDF reader, maar ook omdat het onderliggend OS het gewoon toe stond.

Door in een sandbox te werken, worden ook gaten in het OS minder vatbaar voor aanvallen van het product wat in de sandbox draait. Een sandbox werkt dus twee kanten op:
1. beveiligd gaten in het product dat in de sandbox draait
2. beveiligd gaten in het OS door daar sowieso geen toegang toe te verschaffen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (63)

Sorteer op:

Weergave: