News Firefox: Mozilla Foundation setzt Flash auf Blockliste

[MountWalker]

Ein Sicherheitsrisiko wie andere Dinge auch. Was wäre denn, wenn Flash heute schon tot wäre? Dann hätten wir eben wieder, wie von 2001 bis 2004, regelmäßig Exploit-Meldungen über Standard-Web-Engines. Wäre die Welt dadurch dann eine sicherere? Erst wenn die Standard-Web-Engines weniger fehleranfällig sein werden.

Wie schon ettliche Seiten zuvor gesagt, dass man Standard-Webtechniken bevorzugen sollte, wenn sie gleichwertig sind, geschenkt. Aber man muss nicht auf angeblich grobschlechter Sicherheit rumhacken, wenn man bei den Standard-Web-Engines bisher keine wesentlich bessere Sicherheit bekommt. Es ist doch schön, dass eine Flash-Ablehnung gar kein Sicherheitsargument braucht - das macht es noch so alberner, dass jedesmal dieser Hate-Storm in Bezug auf Sicherheit ausbricht.

 

[Kronos60]

@purzelbär Da hast du schon recht, trotzdem muss man sagen das viele Drive-by Infektionen durch meistens veralterte Flashplayer-Versionen passieren, wenn man in aktuell hält ist man aber zumeist auf der sicheren Seite.

 

[purzelbär]

Ich hab ja was dazu geschrieben Kronos: ich kann mich nicht entsinnen das bei mir eine Infektion des Flashplayers stattfand von 2002 bis jetzt

 

[T0a5tbr0t]

Flash ist nicht prinzipiell unsicherer als Standard-Web-Engines, es hat nur seit ca. 2005 fast jeder Web-Client installiert und das macht Angriffe auf Lücken im Adobe Flash Player eben lohnender, als Angriffe auf Trident, die nur 2/3 oder so der Leute erreichen oder Angriffe auf Firefox, mit denen man in Nordamerika noch jeden 5. erwischen kann.

Und genau da liegt eines der großen Probleme mit Flash. Es gibt eben nur eine "wirkliche" Implementierung. Und die ist dazu auch noch Proprietär. Als Nutzer hat man keine Alternativen und Angreifer haben eine wunderbare Angriffsfläche.

Letztendlich gibt es aber noch mehr Designprobleme in Flash, die zu dem ganzen Desaster führen. Die Standards werden nicht offen diskutiert, es wird Performance vor Sicherheit gewählt, Flash gibt von Haus aus zu viel Systemzugriff (was auch Datenschutz-technisch bedenklich ist).
Browser entwickeln sich langsamer, dafür reden aber auch deutlich mehr Stimmen mit. Wenn mehrere Parteien auf einen Standard gucken findet man einfach mehr potenzielle Gefahren als es ein einzelnes Entwicklerteam es je schafft.

 

[Kronos60]

Ich hab ja was dazu geschrieben Kronos

Mit den Drive-by Infektionen habe ich natürlich nicht dich gemeint sondern die Allgemeinheit.

 

[purzelbär]

Mit den Drive-by Infektionen habe ich natürlich nicht dich gemeint sondern die Allgemeinheit.

Ist mir schon klar. Nur ich für meine Person hab hier im Forum das persönliche Gefühl, das zu viel Hysterie und Angstmacherei wegen dem Flashplayer bertrieben wird. Es gibt doch noch fast keine alternative Lösung für den Flashplayer oder? und selbst wenn es die gäbe und die wäre so populär und beliebt wie der Flashplayer, na was würden dann wohl die Cracker machen? würden die nicht versuchen die Alternative auch ständig anzugreifen und Schwächen darin zu finden?

 

[Kronos60]

na was würden dann wohl die Cracker machen? würden die nicht versuchen die Alternative auch ständig anzugreifen und Schwächen darin zu finden?

Da ist was wahres dran, deswegen braucht man ja auch ständig die Windows-Updates.

 

[MountWalker]

...
Browser entwickeln sich langsamer, dafür reden aber auch deutlich mehr Stimmen mit. Wenn mehrere Parteien auf einen Standard gucken findet man einfach mehr potenzielle Gefahren als es ein einzelnes Entwicklerteam es je schafft.

Welche mehreren Parteien sind das denn bei beispielsweise SpiderMonkey? Und die WebEngines geben im Zeitalter vo HTML5 evben auch immer mehr direkte Zugriffsmöglichlkeiten auf Systemgeräte - was genauso bedenklich ist, wie bei Flash. Dass in einem "PrivateWindow" eines Browsers heutzutage genausowenig Flash-Cookies angelegt werden, wie HTML-Cookies, hat indes keiner bemerkt.

 

[blackiwid]

flash ist doch nicht beliebt hoechstens bei ein paar spinnern vielleicht, es kommt halt bei manchen seiten gesagt sie koennen hier nix sehen wenn sie kein flash installiert haben, du meist vielleicht bei den anbietern aber seit wann richtet sich bei ner gesunden Marktwirtschaft der kunde nach dem angebot hab das noch umgekehrt gelernt. die meisten hassen den dreck und benutzen es halt weil die anbieter sie dazu noetigen es zu nutzen.

und ja der proprietaere blob die implementierung waere egal sollen halt ein paar windowsuser denen sicherheit egal ist das benutzen das problem ist das das format selbst auch proprietaer ist. Dadurch gibt es keine alternative Implementierungen.

Selbst wenn ich mal davon aus gehe was ich naiv halte das adobe einem an der einen stelle boeses will (propr. software, kann nur gruende haben die nicht im interesse der kunden ist) aber an sich ihm gut gesinnt ist und nicht backdoors oder ueberwachungsgeschichten ein baut und die software wirklich nicht schlechter waere von der bug/anti-feature anzahl wie die browser.

Ist ja klar das wenn es nur eine implementation gibt die in allen OS immer der gleiche dreck ist man dort einmal einen exploit findet und alle systeme hacken kann egal welches os oder welchen browser. Bei html5 gibts mehrere verschiedene Implementierungen da kann man dann auch 1. durch wettbewerb ganz altmodisch den anbieter der sich mit sicherheit am besten anstellt belohnen er hat dann was davon hoehere verbreitung. und es lohnt sich fuer hacker weniger nach loechern suchen da eben man weniger user angreifen kann mit einem loch.

das ist soweit ich weiss die einzige software die so massenhaft plattformuebergreifend quasi alternativlos verbreitet ist.

Skype waere noch die naechste Pest, da Linux ein konkurent ist von Microsoft stellt sich da auch die frage warum es einen linuxclient gibt, kann mir nur vorstellen das sie da auch backdoors an nsa verkaufen und die interesse an Linuxsystemen haben. Aus Menschenfreundlichkeit werden sie es wohl nicht machen.

Bei skype ist sogar bekannt das Microsoft ne backdoor in die verschluesselung eingebaut hat so das nsa jederzeit mit hoeren kann. Da sieht man dann auch das ich kein verschwoerungstheoretiker bin sondern solchen sachen in echt staendig passieren. Sony Rootkit war auch so ein bekannter Fall der Nachgewiesen ist. Also hoert auf naiv einem Anbieter zu glauben nur wenn 3. auf den source schauen koennen hat man ne hohe chance das nichts schaedliches oder zumindest nichts zu schaedliches drin ist.

Ist ungefaehr so wie wenn jeder das logo bio aufs produkt kleben koennte ohne Kontrollen, dann wuerdet ihr doch auch nicht dran glauben und von aus gehen das das nicht eingehalten wird. Versteh diese grenzenlose Naivitaet nicht und man wird noch als Aluhut betitelt nach den 1000 Snowdenveroeffentlichungen ist diese Naivitaet fuer mich nicht begreifbar.

Nein nicht kriminelle sind die (einzige) Gefahr die hersteller koennen viel einfacher Exploits direkt einbauen sie muessen nicht umstaendlich welche suchen. Kriminelle sind vielleicht in wenigen faellen ein schlimmeres problem, wobei das leute die zufaellig neben terrorismusverdaechtigen Personen mit Smartphones standen sicher anders sehen, aber dafuer wird massenhaft unrecht an allen kunden begangen.

 

[Dark Thoughts]

Wenn Google ihren bescheuerten HTML5 Player auf YT noch fixen würde könnte ich mich dem Wandel durchaus langsam anschließen, aber der ist im Firefox nach wie vor unbenutzbar und extrem buggy. Eigentlich schade und schwer zu verstehen wenn es selbst auf drittklassigen Pornoseiten besser lauft.

 

[T0a5tbr0t]

Welche mehreren Parteien sind das denn bei beispielsweise SpiderMonkey?

JavaScript Engines implementieren Ecmasript und da kann praktisch jeder mitreden, der Ahnung von die Sprache hat. Sicherheitslücken entstehen nicht nur durch reine Implementierungs-Bugs. Bestimmte Designentscheidungen machen sicheres Implementieren unnötig schwer bis unmöglich. Bei "Sicherheit" geht es meistens einfach um das richtige Mittel.
Beispiel: Es darf der Garbage-Collector bei JS VM's nicht analysierbar sein. Sonst könnte man mit Timing Attacken den Speicher auslesen. Dennoch will man als Entwickler den GC möglichst gut kontrollieren können, um vorhersehbare Performance zu haben. Dementsprechend muss Ecmascript designt werden, sonst würde es kein Browser implementieren.

Wenn eine JS VM Probleme findet, können die anderen abgucken und z.B. die Lösung liefern. Das ist bei Flash schon Prinzipiell unmöglich. Es passiert nicht selten, dass Browserentwickler Bugs in den Standards finden. Und für Webentwickler (und somit auch Angreifer) wird ein Standard erst interessant, wenn er von mehreren Browsern umgesetzt ist. Ab dem Punkt hat man aber auch schon Ausweichmöglichkeiten.

Das macht den Zugriff nicht weniger kritisch, aber die Grundlage ist besser.

 

[IRON67]

.... aber der ist im Firefox nach wie vor unbenutzbar und extrem buggy.

Läuft hier einwandfrei. Was genau hast du denn zu bemängeln?

 

[Magellan]

Dein großen Argument da oben hängt davon ab, dass die Analyse der Fehlerhäufigkeit gleichwertig stattfindet - was man aber bezweifeln muss, siehe dieses Zitat von mir. Oder willst du mir erzählen, dass KHTML fehlerfreier als Gecko und WebKit ist, weil in KHTML seltener Exploits bekannt werden?

Chrome allein hat nen Marktanteil von 50%, Flash ist angeblich bei ca 90% der PCs installiert, das Verhältnis neuer fataler Sicherheitslücken von Chrome zu Flash steht deswegen aber nichtmal annähernd bei 5:9, entsprechendes gilt für WebKit, Javascript Engines usw.

Und meinst du das gleiche auch von Mozilla und von Microsoft und von Apple? Oder soll in Zukunft einfach jeder Chrome nutzen?

Du hast mich doch nach Google gefragt oder? Und um Chrome gehts hier nicht, du verdrehst schon wieder völlig das Thema.

Und schön, dass du mir erzählst, dass Flash aus anderen Gründen bedenklich ist - nachdem ich das auf Seite 5 oder 6 dieses Threads schon lange gesagt habe.

Na dann sind wir uns diesbezüglich ja einig dass Flash bereits ohne Berücksichtigung des Sicherheitsaspekts abgelöst gehört.

Und wieso soll die Kontrollierbarkeit, die reine Möglichkeit von Konrolle, bei OpenSource-Software saubereren Code erzwingen? Kannst du belegen, dass beispielsweise OpenSSL-Code, der von Heartbleed betroffen war, sauberer war? Es kommt sicherlich eher darauf an, wieviele Augen den Code tatsächlich ansehen und das sind bei OpenSource eben nicht zwangsläufig mehr.

Wenn du es nicht glaubst dann google dazu, natürlich erwirkt Open Source saubereren Code - Lücken werden einfacher gefunden aber auch entsprechend schneller geschlossen, das zeigt jahrelange Erfahrung dazu muss ich hier jetzt keine Beweisführung antreten. Eine solch verbreitete Software wird immer auch von entsprechend vielen Leuten angesehen.

Wow Heartblead - EINE Lücke in EINER OS Software belegt selbstverständlich das Gegenteil.

In der Zeit zwischen Mozilla Application Suite 1.0 und Firefox 1.0 gabs regelmäßig Nachrichten über Exploits in den JavaScript-Engines. So ganz verschwunden scheint das Thema aber nicht zu sein, wenn man mal nicht das Medienecho betrachtet, sondern in die aktuellen Versionsgeschichten verschiedener Browser schaut.

Anzahl und schwere der Lücken in den jeweiligen JS Engines steht (auch unter Berücksichtigung der Marktanteile) in keinem Verhältnis zu denen von Flash.

 

[Turrican101]

Wow Heartblead - EINE Lücke in EINER OS Software belegt selbstverständlich das Gegenteil.

Ja und diese eine Lücke reicht aus um das Problem bei OS-Software zu zeigen. Alles basiert nur auf theoretischen Vorteilen, die in der Praxis in den meisten Fällen eben nicht greifen, selbst wenns ne Software ist, die von Millionen seit Jahren genutzt wird und eigentlich die sicherste und bestgecodetste Software überhaupt sein sollte. Stattdessen gabs gigantische Sicherheitslücken und keiner hats bemerkt.

Wenn Fehler gesucht, gefunden und gefixt werden ist OS toll und klar besser als CS. Wenn nur einer dieser Punkte aber fehlt, ist es ein riesiges Sicherheitsrisiko, weil jeder böse Hacker natürlich auch einfach so Fehler suchen und ausnutzen kann, ohne wie bei CS erst komplizierte Dinge tun zu müssen.

 

[d00d]

Ich bin weißgott kein freund von Flash oder von Adobe generell aber: Die Nummer um Flash beweist, dass es hier mehr um Politik und um die Agenda bestimmter Kreise ankommt als um reale Gefahren. Oder wer von den aktuell 225 Kommentatoren dieses Fadens hat schon irgendeinen Schaden durch ominöse Flash-Sicherheitslücken erdulden müssen? Das gleiche sehen wir in wunderbarer Weise bei Java. Ein Schelm wer vermuten würde, dass Firmen wie Microsoft durch forcierte Sicherheitslücken (Stichwort: Einsatz bezahlter Hacker) die eigene Agenda in Form von C# vorantreiben möchten. Vermutlich ist es bei Flash ähnlich gelagert.

 

[IRON67]

...Oder wer von den aktuell 225 Kommentatoren dieses Fadens hat schon irgendeinen Schaden durch ominöse Flash-Sicherheitslücken erdulden müssen?...Ein Schelm wer vermuten würde...

...dass dein Aluhut brennt.

Wer hier postet, hat idR. genug Erfahrung, um all die Laienfehler zu vermeiden, die zu Drive-by-Infektionen führen. Wenn hier keiner derartiges erdulden musste, dann ist das in keiner Weise auch nur ansatzweise ein Indiz dafür, dass diese Lücken "ominös" wären. Sie sind nachprüfbar dokumentiert und ebenso nachprüfbar ist, dass deren Exploits in entspr. gut vermarkteten Exploit-Kits zu finden sind, derer sich die Kriminellen weltweit bedienen, um Geld zu scheffeln.
Lücken im Java-Plugin, das du hier in Schutz zu nehmen versuchst, sind zeitweise für über 90% der Malwareinfektionen verantwortlich gewesen, mittlerweile sinds "nur" noch 45%. Reicht allemal, um es weghaben zu wollen.

 

[wolli_d]

@d00d
Könnte man mit genügend Vorstellungsvermögen durchaus glauben. Die verseuchten Rechner vor meinen Augen sprechen eine andere Sprache, gerade Java Exploits sehe ich öfter. Es wäre ja alles kein Ding, wenn die Updateroutinen bei Java und Flash ihren Job erledigt hätten, aber zu viele Jahre ist nichts passiert. Lösung: Deinstallation. Mittlerweile bringen Elster und andere Programme für Kanzleien ihre eigene Java Runtime mit, da gibt es laufend Aktualisierungen per Abo.

 

[Magellan]

Wenn Fehler gesucht, gefunden und gefixt werden ist OS toll und klar besser als CS. Wenn nur einer dieser Punkte aber fehlt, ist es ein riesiges Sicherheitsrisiko, weil jeder böse Hacker natürlich auch einfach so Fehler suchen und ausnutzen kann, ohne wie bei CS erst komplizierte Dinge tun zu müssen.

Da unterstellst du jetzt aber dass bei CS weniger Lücken gefunden und ausgenutzt werden, die Erfahrungswerte zeigen aber dass dem nicht so ist - wir erfahren nur später davon.

Die Tatsache dass die Lücken leichter zu finden sind wird locker aufgewogen dadurch dass eben auch die "guten" alle danach suchen können und die Anzahl entsprechend reduziert wird.

In einem Fall wie Flash, wo das CS Konzept ganz offensichtlich nicht funktioniert wie uns im Wochentakt bewiesen wird, wäre OS garantiert eine Verbesserung.

 

[d00d]

...dass dein Aluhut brennt.


Lücken im Java-Plugin, das du hier in Schutz zu nehmen versuchst, sind zeitweise für über 90% der Malwareinfektionen verantwortlich gewesen, mittlerweile sinds "nur" noch 45%. Reicht allemal, um es weghaben zu wollen.

Der Browser kommt dem Link zufolge auch auf 42%. Willst du den jetzt auch "weghaben"? Denk dir jetzt mal Java und Flash weg und stell dir vor, wie viele Exploits mehr (in absoluten Zahlen) dann beim Browser selbst gefunden werden, wenn sich die ganzen Junkies draufstürzen. Das gleiche Spiel gab es bei Linux, das früher als sooooo super sicher galt, als sich noch keine Sau dafür interessiert hat. Mittlerweile sieht es da meiner Wahrnehmung nach auch deutlich anders aus.

Jede von Menschen gemachte Software hat gleichermaßen Lücken. Ob eine bestimmte Software wie Flash oder Java alleine an den Pranger gestellt wird kann man beispielsweise durch forciertes Auftragshacking beeinflussen.

 

[Turrican101]

Du weisst doch gar nicht wieviele Lücken ausgenutzt werden. Fakt ist aber, dass es bei OS keine Hürden gibt, weil jeder böse Hacker ja direkt den Code lesen und Fehler finden kann. Bei CS ist der Aufwand wesentlich höher. Dafür können bei OS Fehler einfacher gefunden und gefixt werden. Aber wenn sich den Code keiner anguckt, dann bringt das auch nichts. Sieht man ja schön an diversen CMS und eCommerce Systemen, die OS sind, aber kein Schwein Fehler beseitigt, so dass sie dauernd angegriffen werden.