Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 69 reacties
Submitter: Loller1

Vanaf 12 augustus gaat Internet Explorer verouderde versies van plug-ins blokkeren. Aanvankelijk gaat het daarbij enkel om oudere versies van java. Verouderde plug-ins worden vaak gebruikt door aanvallers om malware te installeren.

Als gebruikers een verouderde java-versie draaien en op een website komen die java gebruikt, krijgen ze vanaf 12 augustus een waarschuwing en wordt de plug-in automatisch geblokkeerd; dat valt samen met de update voor Windows 8.1, maar die heeft alleen IE11. De blokkade geldt ook voor oudere versies van Microsofts browser en dus op oudere besturingssystemen.

Desgewenst kan een gebruiker ervoor kiezen om de plug-in toch te draaien. Aanvankelijk gaat het enkel om oudere versies van java, maar Microsoft wil ook verouderde versies van andere browser-plug-ins gaan blokkeren.

Microsoft werkt de lijst met verouderde plug-ins automatisch bij, buiten Windows Update om. Firefox en Chrome blokkeren al langer verouderde java-versies. Volgens Microsoft richt een groot deel van de malware-aanvallen op internet zich op java - vorig jaar lag dat elke maand tussen de 84,6 en 98,5 procent. Aanvallers gebruiken gaten in de verouderde plug-ins om malware te installeren, bijvoorbeeld door advertentienetwerken te infecteren.

Java geblokkeerd IE

Moderatie-faq Wijzig weergave

Reacties (69)

Ik ben benieuwd hoe dit gaat werken bij bedrijven die nog gebruiken moeten maken van Java 6.
Helaas zijn er nog veel bedrijfsapplicaties die niet met nieuwere versies overweg kunnen.

Update:
Dit lijkt toch mee te vallen:

Out-of-date ActiveX control blocking is turned off in the Local Intranet Zone and Trusted Sites Zone, to help ensure that intranet Web sites and trusted line-of-business apps can continue to use ActiveX controls without disruption.

[Reactie gewijzigd door St00mwals op 7 augustus 2014 12:52]

Je kunt vanaf morgen ook de nieuwe MSIE Administrative Template downloaden en de hele blokkeer functie uitschakelen voor je omgeving.
Zoals aangegeven in het artikel zou men dan gewoon kunnen kiezen om java alsnog ( eenmalig ) uit te voeren.

Dus het enigste "probleem" is dan dat men telkens moet klikken...
Leer mij de gemiddelde eindgebruiker kennen, die gaat hier moord en brand om schreeuwen :'(
Zekers. Waardoor ze om de dag weer bij de afdeling ICT staan...

Maar als @EvilWhiteDragon gelijk heeft, dan zou je de website nog kunnen toevoegen aan de "Trusted Sites" en zou het "gewoon" moeten werken zonder extra interactie...
Leer mij de gemiddelde eindgebruiker kennen, die gaat hier moord en brand om schreeuwen :'(
Wel nee. Die klikt telkens op de knop 'Deze keer toestaan' en nooit op de knop 'updaten'. Er zal dus weinig veranderen.
De gemiddelde gebruiker klikt op "Update", en dan loopt het helaam om zeep omdat gebruikers niet genoeg rechten hebben om up te daten waardoor ze allemaal weer de helpdesk gaan lastig vallen. Dat is de gemiddelde (niet particuliere) gebruiker
Leer mij de gemiddelde eindgebruiker kennen, die gaat hier moord en brand om schreeuwen :'(

De gemiddelde eindgebruiker drukt dan gewoon op die andere knop 'update' O-)

De rest is geen eindgebruiker, maar werkt bij een bedrijf die dan de systeembeheerder gaat lastigvallen, die dan van zijn luie r##t afkomt en de updates eindelijk beschikbaar stelt. En in het zeldzame geval dat echt Java 7 of 8 niet kan werken, kan hij een group policy toevoegen die de popup doet verdwijnen.
Die zullen dus op Run this time moeten drukken.
Prima zaak dat ze dit doen. Helaas heb ik welgeteld 1 site (intel) waar ik Java nodig heb, anders was het helemaal verwijderd.
Ik last op Neowin dat het niet geldt voor intranet of trusted sites, waarmee het dus geen issue zou moeten zijn.
Vermoedelijk zal deze patch een "reccommended" of optionele status krijgen bij Windows Update. De meeste bedrijven installeren standaard alleen security en critical updates. Nooit de optionele omdat die vaak alleen features toevoegen.

En als bedrijf kan je ook nog middels WSUS of SCCM de update afkeuren of geen toestemming voor geven. Dan wordt die ook niet geïnstalleerd op je systemen. Bedrijven spijkeren sowieso de boel dicht middels Group Policy e.d..

Voor de consument is dit een mooie feature. Het brengt hopelijk het aantal succesvolle malware besmettingen weer naar beneden.
Klopt dat het een goede zaak is, maar ik vrees dat 99 van de 100 mensen op "run this time" gaan klikken als ik op de screenshot afga. Het zou een pak makkelijker zijn moest java automatisch kunnen updaten (dus niet enkel met een notificatie) en niet met irritante software zou komen dat je altijd moet uitvinken.
Tip: https://superuser.com/que...every-time-java-is-update

Met een eenvoudige registry tweak kun je de installatie van die meegebundelde software bij Java automatisch verhinderen :)

en als je daar geen zin in hebt is er nog altijd 'Unchecky'

[Reactie gewijzigd door breezie op 7 augustus 2014 12:21]

Opgepast met unchecky. Want ik ben ook regels tegengekomen waar je het aan moest vinken als je het niet wilde installeren.

In de trend van: "Vink deze optie aan als u akkoord gaat met het niet installeren van deze toolbar."
Daar houdt Unchecky rekening mee. Ze vinken niet domweg alles uit maar hebben regels per installer.
Met de nieuwste versies van Java kan je in het configuratiescherm > Java > Advanced > Suppress sponsor toolbar during installation or upgrading Java (zoiets) de installatie van de toolbar bij voorbaat al uitzetten.
Persoonlijk heb ik een hekel aan software die zich altijd op de vervelendste moment automatisch begint te updaten. bvb: Je wil nog snell ff een locatie zoeken op Google maps => update, 5 minuten wachten...
Ik heb daarom Adobe (Reader en Flash), Firefox, Windows, Java, Nvidia, ... allemaal staan op melding weergeven als er updates beschikbaar zijn. Ik installeer ze dan als het mij uitkomt.
Als IE zou kiezen voor automatisch updaten zonder dat dit uitgezet kan worden, zou ik het gewoon niet meer gebruiken. (al gebruik ik nu ook al vaker Firefox dan IE)
Als IE zou kiezen voor automatisch updaten zonder dat dit uitgezet kan worden, zou ik het gewoon niet meer gebruiken. (al gebruik ik nu ook al vaker Firefox dan IE)
IE doet aan automatisch updaten, maar toen je de auto update functie van Windows hebt uitgeschakeld, schakelde je die van Internet Explorer ook uit.
Volgens de msdn link in het artikel is het met een GPO uit te schakelen in een bedrijfsomgeving.

Gaan we dus ook meteen uitschakelen. Als de één na laatste JAVA al geblokkeerd wordt is er geen beheren meer aan. Wij testen graag nog wel eens voor dat we iets in productie zetten. Al meerdere keren meegemaakt dat een nieuwere JAVA versie programma's onwerkbaar maakten.

Helaas zijn ze vaak zo snel bij JAVA dat zodra het hier getest is en in productie staat de volgende dag de volgende JAVA update alweer klaar staat :)

Lachen joh dat JAVA...
Let op: dit is een security update. Veel bedrijven stellen dat al standaard in als gewoon doorvoeren. Die worden vaak niet uitgetest.

Daarnaast zijn al jullie interne Java applicaties toch wel in de intranet zone of trusted zone hoop ik? Dan kun je de blokkade gewoon aan laten
Als de één na laatste JAVA al geblokkeerd wordt is er geen beheren meer aan

Men kijkt naar de subversie. Dus niet de laatste versie, maar oude subversies. En juist vanwege het beleid van veel bedrijven even af te wachten niet de laatste én ene-laatste versies. Zo wordt 7.51 geblokeerd en 7.65 en 7.67 niet.

En de makers van Java zelf raden iedereen aan te updaten gezien de vaak zeer kritieke aard van hun fixes. Dus je moet als admin flink slacken wil je dat niet bijhouden.

(EDIT: exacte versie numers toegevoegd.)

[Reactie gewijzigd door Armin op 7 augustus 2014 22:34]

De wijziging van subversie 55 naar 60 heeft anders aardig wat sores opgeleverd toen ze ineens begonnen met de security settings en de exception list...
Ik ben sowieso van mening dat als een gebruiker geen Java nodig heeft hij dit ook absoluut niet moet installeren. Bij sommige webapplicaties of games kun je niet anders, maar als het niet nodig is dan is niet installeren het beste advies.

Ik vraag me af waarom ze niet naar Adobe Flash kijken. En Adobe Reader. Deze worden volgens mij ook veel misbruikt.

[Reactie gewijzigd door 3raser op 7 augustus 2014 12:16]

Java zal hier als voorbeeld genomen zijn, ik ga ervan uit dat dit gewoon voor alle plugins gaat gelden.
Ik vraag me af waarom ze niet naar Adobe Flash kijken.
http://msdn.microsoft.com/en-us/library/dn268945.aspx
Adobe Flash is included as a platform feature and is available out of the box for Windows 8.1, running on both Internet Explorer and Internet Explorer for the desktop.
Wordt dus door MS zelf meegeleverd tegenwoordig (en geupdate via Windows Update).
Voor windows 8 is flash niet echt een issue wordt tegenwoordig gewoon met Microsoft Update bijgewerkt.

Dat mag wat mij betreft met meerdere plugins gebeuren, java als eerste met z'n brakke updater.
Eerst extra rechten vragen en daarna een mini notification dat er een update is. Gooi er dan gelijk een grote pop-up in om te updaten
Komt nog idd. Java is nog maar het begin.
Ik vraag me af waarom ze niet naar Adobe Flash kijken. En Adobe Reader. Deze worden volgens mij ook veel misbruikt.

Gaat men vast ook doen. De lijst is niet hardcoded tot Java, maar een flexibele lijst. Je moet ergens beginnen en dit is vast enkel een eerste test.

Veel security features komen ook voort uit het EMET team. EMET 5 (uitgebracht op 31 juli) introduceerde niet toevallig deze zelfde feature maar dan veel uitgebreider. Bij EMET 5.0 worden plugins nu ook geblokeerd afhankelijk van toepassingem.

Flash is een mooi voorbeeld van een nieuwe policy van EMET 5.0: vanaf internet is gebruik van Flash nog steeds veel voorkomend en toegestaan. Maar als Microsoft Word Flash wil laden is dat zeer ongewoon en wordt dus default geblokeerd. De afgelopen maanden heeft Microsoft met de preview van EMET 5.0 al uitgebreid kunnen experimenteren met hoe en wat te blokkeren zonder de doorsnee gebruiker teveel lastig te vallen.

Je zult dus vast zien dat deze vorm van blokkeren uitgebreid gaat worden de komende maanden en dat oude versies van Flash op termijn ook ook op deze lijst gaan komen.
Dus zonder dat wij het weten of er ruchtbaarheid aan word gegeven maken de browsers IE en ook FF contact met servers. Ik stel daar absoluut geen prijs op. Het is prima als ze gegevens met naar hun mening onbetrouwbare plug-ins te beschikking willen stellen maar ik als gebruiker wens zelf de keuze te kunnen maken. Wie weet wat er allemaal nog meer word doorgeseint van mijn computer en mijn browser naar Microsoft of Mozilla? Nergens voor nodig.
Je kan die lijst gewoon zelf opvragen en bekijken.
Het is niet jouw browser. Het is een browser die je gratis mag gebruiken. En tegenwoordig geldt "if the product is free, you are the product" dus terughoudendheid is op z'n plaats. Hoewel ik denk dat zoiets bij een browser als Firefox en IE nog wel meevalt. Die kunnen zich niet veroorloven dat het om meer gaat dan updatechecks of veiligheidsinfo. Maar goed vertrouw je het niet, installeer een logger en controleer de boel.
Goede zaak dit. Dit is iets wat veel gezeur zal voorkomen hopelijk. 99 van de 100 virussen gaan op lekken in oude software af.
Het kan wel voor problemen zorgen als plugins niet upgradebaar zijn. Het is bijvoorbeeld onmogelijk om Microsoft.NET framework te updaten op onze laptop...
In dat geval kun je altijd nog kiezen om 'm zelf te runnen.

Maar op zich is dit wel handig, hoeveel mensen weten nu welke Javaversie ze precies hebben en of deze up to date is? Ik zou het niet weten zelf wat ik op m'n systeem precies draai als ik er al een Javaplugin op heb staan.
In het geval van java is er geen enkel probleem.
Als er een update is voor java, kom je dit als gebruiker (zelfs zonder adminrechten) spoedig te weten (in het geval van windows toch).

1 van de weinige installaties die vaak tevoorschijn komt om te melden dat er een update is, tot ergernis van het merendeel van de gebruikers (die het dan helaas wegklikken in plaats van direct op "update" en dan moeten ze voor de rest niets doen).
Hoe komt het dat deze niet te updaten is?
Company Policy die dat voorkomt.
Nee, er zit gewoon ergens een bug in de updater of het bestand is gecorrumpeerd waardoor die niet wil updaten...
Mss dat een computer expert dat nog wel kan verhelpen, maar om nog kosten te doen voor een laptop die toch al op zn laatste adem loopt...
Ik weet dat in Windows 8 DotNet soms niet wil updaten omdat hij kijkt naar de originele bestanden op Windows Update (of als het bedrijf het insteld, binnen WSUS/SCCM). Als WSUS/SCCM dan de originele dotnet die hij nodig heeft, niet heeft staan, kan de update niet plaatsvinden.

Dat probleem is op te lossen via de command line en de originele install.wim te gebruiken voor de update. Ff onhandig, maar daarna werkt het wel weer.
Maar dat betreft .NET 4 waarschijnlijk. In Windows 8 moet je .NET 3.5 installeren via "Windows onderdelen -in of uitschakelen", deze kun je helemaal niet handmatig installeren.
Het is geen gek idee om eens in de zoveel tijd je OS opnieuw te installeren, dat kan niet altijd, maar als het wel kan begin je wel altijd weer opnieuw met een schone laptop.
Dat kan in principe iedereen. Kijken welke foutcode je krijgt -> google.
Krijg je geen foutcode? Eventviewer -> melding opzoeken -> google.
Problemen vinden bij Google is gemakkelijk. Oplossingen vinden is helaas een heel stuk moeilijker.
Soms heb je .Net update troubles (kwam ze vooral tegen bij XP). De oplossing die ik dan gebruik is via de .Net Cleanup tool de betreffende versie te verwijderen en dan die versie vanaf scratch weer installeren. Dan bleek de update wel weer te werken.
Natuurlijk is de juiste oplossing vinden iets lastiger, maar dit zijn veel voorkomende problemen, zie MegaTronics antwoord bijvoorbeeld.
Als je maar een beetje moeite doet (en verschillende oplossingen probeert) kom je er 9 van de 10 keer uit.
Als je een Company Policy hebt tegen het updaten van software kloppen je Company Policies niet. De naieve tijd van voorgeschreven uniforme IE6 draaien in heel het bedrijf is voorbij, helaas hebben nog niet alle grote bedrijven dat door (banken, Philips en andere semi-ambtenarij) maar zelfs daar is het aflopende zaak om bewust al te grote beveiligingsrisico's te gaan lopen op incompetente IT'ers.
...hmmmmm

In grote organisaties (met de focus op financiele instellingen, overheden en dus niet de IT ondersteunende bedrijven) met complexe systemen is een 'user-induced' update juist een groot een risico. Dus linksom of rechtsom moet alles uniform gebeuren

Wat bij bedrijven meestal gebeurt is:
Fase 1: Management is God.
Fase 2: IT is God.
en nu komen de meeste bedrijven in Fase 3 uit: Een balans tussen management, IT & gebruiker.

Weer terug naar updates door gebruikers:
Update wilt en moet men controleren bij grote bedrijven. Al was het maar een eis van de diverse toezichthouders...
Bij kleinere bedrijven is het een risicoafweging. Installaties wel of niet toestaan.

Voor
  • beveiliging
  • compatibiliteit/functionaliteit
  • ondersteuning
Het risico op inbreuk vanuit het internet wordt, bij grote bedrijven, meestal afgevangen door internet via een terminial server en 'actieve' bescherming.

Een user-update toestaan zoals in het artikel beschreven zal (zonder een group-policy) dan helaas toe leiden dat 90% van de gebruikers de geweldige ASK toolbar en andere meuk door zijn strot geduwd krijgt....

Geweldig toch al die updates met spamware. Nog niet te spreken over nepupdates met Trojans....

Dan kan ik me prima vinden in het beleid van Microsoft verouderde plugins standaard te gaan blokkeren. Het is en blijft namelijk te omzeilen.

[Reactie gewijzigd door kwakzalver op 7 augustus 2014 13:15]

Balans??

Je bedoelt van die halve maatregelen waarbij je doodleuk een mailtje krijgt welke acties je moet ondernemen om een antieke applicatie aan de gang te krijgen...

Don't fix what ain't broken, helaas is dat het adagium
Dan moet de policy zich aanpassen.
We gaan richting off topic, maar het algeheel blokkeren van updates is idd niet goed. Wel wordt er bij grotere of slimme ondernemingen met complexe systemen of software de updates eerst getest in een gecontroleerde omgeving en na goedkeuring via een speciale tool doorgedrukt.

Voor een privé systeem is het installeren van updates geen issue, maar bedrijven die afhankelijk zijn van continuïteit wel.
Goede zaak dit. Dit is iets wat veel gezeur zal voorkomen hopelijk. 99 van de 100 virussen gaan op lekken in oude software af.
Kan zakelijk gezien nog wel problemen opleveren. Aangezien sommige (web)applicaties afhankelijk zijn juist van oudere versies van Java bijvoorbeeld.
Het gaat niet eens om hele oude versies. Van Java 7 worden alle edities ouder dan 17 juli 2014 geblokkeerd...
Wait, what? Webkit standaarden?

Je beschuldigt Microsoft ervan dat ze niet doen wat andere browserbouwers tien jaar geleden ook niet wilden doen, daar nota bene een rechtzaak tegen Microsoft voor hebben aangespannen en die nog gewonnen hebben ook?

MS had immers IE standaard in Windows zitten,, waardoor 98% van de markt IE gebruikte en IE6 dus de de facto standaard was. Nu is Microsoft eindelijk eens gewoon webstandaarden aan het implementeren en nu klaag je dat ze geen non-standaarden hanteren?
Ja, omdat een significant percentage van de sites Webkit-opmaak gebruikt. De standaard is hetgeen in het wild gebruikt wordt.

Tien jaar geleden waren de rollen omgedraaid en was het Microsoft die de "officiële" standaarden negeerde. En websites werden ontwikkeld voor IE6 omdat het nu eenmaal de grootste was, waardoor ze niet goed weergegeven werden op andere browsers. Toen was IE6 de de facto standaard.

Wel, nu is Webkit de grootste en de de facto standaard, dus worden websites ontwikkeld voor Webkit. Microsoft kan nog zoveel hameren op de standaarden als ze willen, maar als KLANT heb ik geen behoefte aan een bedrijf dat perse zijn gelijk wil halen ten koste van de dienstverlening.

Het zou Microsoft sieren als ze zich voor één keer eens aan de markt zouden aanpassen.
Ja, omdat een significant percentage van de sites Webkit-opmaak gebruikt. De standaard is hetgeen in het wild gebruikt wordt.
De standaard is hetgeen dat staat vastgelegd op papier. Hetgeen dat in het wild gebruikt wordt is, als het niet overeenkomt met het vastgelegde, een defacto. Vroeger was het inderdaad Microsoft die de macht in handen had, maar vergeet niet dat veel van de dingen die in IE6 als non-standaard worden gezien, wel ooit bedoeld waren om standaard te worden, maar door bedrijven als Google en Mozilla toen plots werden tegengewerkt. Ten tweede zijn we nu 13 jaar later en zijn het juist Google en Apple (ook 2 bedrijven die toen sterk tegen IEs manier van werken waren) die nu gewoon hetzelfde doen. Het is niet omdat Microsoft toen in de fout is gegaan, dat Google en Apple dat nu ook zomaar mogen.
Dat klopt, maar het gevolg is wel dat IE11 op mobile bijna onbruikbaar is. En aangezien je geen andere browser kunt installeren...

Uiteindelijk moet je toch gewoon doen wat de markt doet.
Webkit-opmaak

Welke smaak, variant en versie?

Om de (bij wijze van spreken :Y) ) 3 weken komt er bijvoorbeeld wel een nieuwe Chrome release die weer wat nieuwe tags toevoegt.

Erge is nog wel dat veel tags helemaal niet nodig zijn. Als het echte nieuwe features zijn, goed, maar veel zaken zijn ook gewoon alternatieve (beter/handigere) methoden om hetzelffde te doen. Websites zijn voor de meeste bedrijven een middel, geen doel. Beter om conservatief te zijn.
Dan heb je het nieuws niet gevolgd. Op mobiele devices (Windows Phone) identificeert IE zich als een webkit compatible browser en parsed de webkit tags naar eigen tags. Ben er nog niet zeker van of ik dit een goede aanpak vind, maar ala.

En juist webkit ondersteunen zou MS niet moeten doen. Hooguit de nog niet final HTML5 tags moeten ondersteunen door een eigen prefix te gebruiken.
In Update 1 identificeert IE zijn platform als Android én iOS omdat vele sites enkel testen op deze strings en dus verzuimen IE de mobiele versie te serveren (meestal uit onwetendheid of nonchalance, in het geval van Google mogelijk met opzet).

Hier had Microsoft ook koppig kunnen zijn en claimen dat het niet hun schuld is dat sites geen rekening houden met IEMobile en dat niet geacht wordt te liegen in je user agent, maar ze hebben de moeite genomen zich aan te passen aan de realiteit van de markt.

We zullen zien of hun implementatie van de meest gebruikte Webkit-prefixes in dezelfde update het probleem oplost. Het is in elk geval een goed begin.
Web-kit standaarden? Sinds wanneer is Web-kit een standaard?
Omdat het een veelgebruikte browser engine is :?
(Safari, Chrome, Android, iOS)
Wel dan, heb jij een probleem met Internet Explorer 6? Het zou niet mogen, want het is ook een veelgebruikte browser engine geweest. Onzin om zo te denken.
Ja, en webdevs bleven toen ook niet trouw aan de standaarden ten koste van het gebruikersgemak.
Microsoft het vertikt de Webkit-standaarden te implementeren wegens Not Invented Here.
Meen je dit nu echt? Je bent kwaad op Microsoft omdat ze zich aan de standaarden houden?
Goede zet van Microsoft!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True