*
 
AfterDawn: IT-alan uutiset

Facebookin tietoturvapomo: Flash tarvitsee kuolinpäivän

Kirjoittaja Manu Pitkänen (Google+) @ 14.7.2015 10:08 Kommentteja (12)

Facebookin tietoturvapomo: Flash tarvitsee kuolinpäivän Steve Jobs ja Adobe ottivat muutamia vuosia sitten näkyvästi yhteen, kun Apple ei suostunut lisäämään mobiililaitteisiin Flash-tukea, vaan päätti laittaa panostuksensa täysin HTML5:een. Lopputuloksena oli Flash Playerin mobiiliversion kuolema. Nyt Facebookin johtava tietoturvapomo Alex Stamos on vaatinut ajamaan alas Flashin tietokoneversionkin.
Stamos ei vaadi Adobea lopettamaan Flash Playerin tukea heti tänään, mutta hän toivoisi yhtiön asettavan takarajan liitännäisen tuelle. Näin Flashiä käyttävät palveluntarjoajat ehtisivät varautumaan tuleviin muutoksiin ja siirtymään vaihtoehtoisiin ratkaisuihin, kuten HTML5:een. Microsoft toimi näin jo aikaisemmin ilmoitettuaan Silverlightin tuen vuonna 2021.

Flash Playerin hautaustoiveet Stamos esitti sen jälkeen kun liitännäisestä löydettiin kaksi tietoturva-aukkoa Hacking Team -tietomurron seurauksena. Flash Player on kärsinyt toistuvasti vakavista tietoturva-aukoista.


Edellinen Seuraava  

12 kommenttia

114.7.2015 10:20

Uninstalloisin ton heti jos twitch ei tarvisi sitä!


-Reko

214.7.2015 10:49

Olen kyllä samaa mieltä. Flash on muinaisjäännettä siltä ajalta jolloin videoiden pyörittämiseen tarvittiin erillinen liitännäinen ja rutkasti hermoja bufferoinnin kanssa. Mitä vähemmän liitännäisiä sen parempi kaikkien kannalta.

Saman tosin joutaisi tekemään myös javalle näin työpöytä- ja nettiselainkäytössä. Pysykööt sekin muualla.

314.7.2015 17:53

Onko sen html5 tietoturva paljon parempi kun epäilen että kun flash&silverlight&java poistuu käytöstä kaikilta niin voi siitäkin löytyä enenevissä määrin tietoturva ongelmia.

414.7.2015 18:09
spam
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti tataka:
Onko sen html5 tietoturva paljon parempi kun epäilen että kun flash&silverlight&java poistuu käytöstä kaikilta niin voi siitäkin löytyä enenevissä määrin tietoturva ongelmia.
Selaimissa on ollut ja on jatkossakin tietoturvaongelmia. Sellaisen paljastuessa vaikeampi suojautua vs Flash lisukkeen aukko, jonka voi ruksia poispäältä tai antaa luvan vain luotetuissa kohteissa.

Flash yksi vahvuus oli että tarjosi yhteensopivuutta joka käyttäjäkin kohtuu helppo ymmärtää (no alkuun oli versioita jotka sekoitti)

514.7.2015 18:21

Lainaus, alkuperäisen viestin kirjoitti tataka:
Onko sen html5 tietoturva paljon parempi kun epäilen että kun flash&silverlight&java poistuu käytöstä kaikilta niin voi siitäkin löytyä enenevissä määrin tietoturva ongelmia.

HTML5:n suurin etu tietoturvan osalta on se, etteivät selaimet pääsääntöisesti käytä samoja toteutuksia. esim. nuo Flash- ja Java-tietoturva-aukot toimivat käytännössä kaikissa Windows-koneissa.

Jos esim. Firefoxin HTML5-ominaisuuksista löytyy tietoturvaongelma, koskettaa se vain Firefoxia.

Toinen iso plussa HTML5:n kanssa on se, että selainvalmistajat voivat automaattisesti päivittää selaimensa, tai estää tietyn koodin suorittamisen, jos haittakoodia ilmaantuu. Nykyisissä Flash- ja Java-hyökkäyksissä käyttäjien on itse käytännössä huolehdittava päivityksistä.

Lainaus:
Selaimissa on ollut ja on jatkossakin tietoturvaongelmia. Sellaisen paljastuessa vaikeampi suojautua vs Flash lisukkeen aukko, jonka voi ruksia poispäältä tai antaa luvan vain luotetuissa kohteissa.

esim. Javascriptit ja HTML5:n videotoistot saa otettua useimmissa selaimissa pois käytöstä, tai tarvittaessa voi käyttää jotain whitelist-laajennusta (esim. NoScript), joka sallii ne vain halutuilla sivustoilla
http://kb.mozillazine.org/Allowing_only..._use_JavaScript

615.7.2015 9:00

Lainaus, alkuperäisen viestin kirjoitti tataka:
Onko sen html5 tietoturva paljon parempi kun epäilen että kun flash&silverlight&java poistuu käytöstä kaikilta niin voi siitäkin löytyä enenevissä määrin tietoturva ongelmia.
HTML5 (HTML5, JavaScrit, CSS3 ja muut standardit) toteutuksessa on mukana lähes kaikki selain valmistajat, useita yrityksiä ja W3C. Tämä tarkoittaa sitä, että jos jossain jonkinlainen tietoturvariski löytyy se korjataan välittömästi.

Kyllä isompi organisaatio helpommin löytää ja nopeammin korjaa virheet ja tietoturvaongelmat, kuin Adobe.

715.7.2015 10:18
spam
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti PJL78:

Kyllä isompi organisaatio helpommin löytää ja nopeammin korjaa virheet ja tietoturvaongelmat, kuin Adobe.
Ei kai se noin yksioikoista, eikä se Adobe ihan pienikään ole, vaikka jäteille koossa jää.

Flashin ongelmaksi joku sanoi että sen yleisyys ja selaimien eduksi sen että pilkkoutunut, varmaan kummassakin puolensa.

Jos itse standartista löytyy paha ongelma, niin saattaa koskea kaikkia ja korjaaminen voi olla vaikeaa.

815.7.2015 12:50

Julkaisis täysin avoimeksi sen, niin näkisi onko siitä jatkossa mihinkään. Onhan noita korvaavia palikoita, mutta ne kun joudutaan tekemään taaksepäin mallentamalla, niin ei ole helppoa se.


Antamani neuvot perustuvat omaan kokemukseen. Jos mielestäsi ne ovat puutaheinää, kerro toki.

916.7.2015 7:07

Eikös tuo ole hieman erikoista vaatia flashin lopettamista siitä löytyneiden, (ja yleensä pian löytymisen jälkeen korjattujen) tietoturvaongelmien takia, kun kukaan ei kuitenkaan vaadi androidin lopettamista, vaikka se on tietoturvaltaan melkeinpä pahempaa kuraa.

1016.7.2015 12:39

Lainaus, alkuperäisen viestin kirjoitti perhana:
Eikös tuo ole hieman erikoista vaatia flashin lopettamista siitä löytyneiden, (ja yleensä pian löytymisen jälkeen korjattujen) tietoturvaongelmien takia, kun kukaan ei kuitenkaan vaadi androidin lopettamista, vaikka se on tietoturvaltaan melkeinpä pahempaa kuraa.
Niinno, sama ongelma vaivaa kaikkia ohjelmistoja millä on tuon kokoinen käyttäjäkunta.

1116.7.2015 12:53

Lainaus, alkuperäisen viestin kirjoitti perhana:
Eikös tuo ole hieman erikoista vaatia flashin lopettamista siitä löytyneiden, (ja yleensä pian löytymisen jälkeen korjattujen) tietoturvaongelmien takia, kun kukaan ei kuitenkaan vaadi androidin lopettamista, vaikka se on tietoturvaltaan melkeinpä pahempaa kuraa.
Tuo fläsä on vaan jo niin julmetun vanha alusta. Ainakin se täytyisi kirjoittaa ihan kokonaan uudestaan.

1216.7.2015 16:45

Lainaus, alkuperäisen viestin kirjoitti perhana:
Eikös tuo ole hieman erikoista vaatia flashin lopettamista siitä löytyneiden, (ja yleensä pian löytymisen jälkeen korjattujen) tietoturvaongelmien takia, kun kukaan ei kuitenkaan vaadi androidin lopettamista, vaikka se on tietoturvaltaan melkeinpä pahempaa kuraa.

Androidissa ei ole ollut noihin Flash-aukkoihin verrattavissa olevia ongelmia pitkään aikaan.
http://www.cvedetails.com/vulnerability...le-Android.html ja tuossakin listassa 12 ekaa ongelmaa ovat tuon Flashin tietoturva-aukkoja.

Ja sitten Flashin lista
http://www.cvedetails.com/vulnerability...ash-Player.html

Tämän uutisen kommentointi ei ole enää mahdollista.

Uutisarkisto