Browser Plugins - Et av de største sikkerhetsproblemene på nettet i dag [Opinion]
Nettlesere har blitt mye mer sikre og herdet mot angrep gjennom årene. Google tilbyr selv pengepremier til personer som rapporterer sikkerhetshull. Det store nettlesersikkerhetsproblemet i disse dager er nettleserplugger. Jeg mener ikke de utvidelsene du installerer i nettleseren din - jeg mener de pluginene som en nettside kan dra nytte av, for eksempel Adobe Flash, Adobe Reader og Oracle's Java.
Noen lesere fant mine kommentarer til å oppmuntre folk til å avinstallere Java hvis de ikke bruker det. Topp 6 ting du bør vurdere når du installerer Java-programvare De seks beste tingene du bør vurdere når du installerer Java-programvare. Oracles Java runtime-programvare er nødvendig for å kjøre Java-appletter på nettsteder og skrivebordsprogramvare skrevet i Java-programmeringsspråket. Når du installerer Java, er det noen ting du bør vurdere, spesielt med hensyn til sikkerhet ... Les mer kontroversielt. Jeg står ved dem, og jeg forteller deg hvorfor. Jeg vil også fortelle deg hva du kan gjøre for å beskytte deg selv.
Attack Surface
Flashback-trojanen smittet over 600 000 Macs. Hvordan infiserte de dem? Det kalte Java-pluginet fra en nettside og lastet inn en spesiell Java-applet som utnyttet en Java-feil, og fikk tilgang til systemet. Å ha Java installert øker angrepsoverflaten. Nå bilde en nettleser med flere plugins - Java, Flash, PDF-leser, QuickTime 5 Nyttige Apple QuickTime-tips for Windows 5 Nyttige Apple QuickTime-tips for Windows Les mer, Silverlight Hva er Microsoft Silverlight? [Geeks Weigh In] Hva er Microsoft Silverlight? [Geeks Weigh In] Les mer, Unity Web Player Unity - Flotte 3D-spill på flere plattformer og nettlesere - Flotte 3D-spill på flere plattformer og nettlesere Les mer, RealPlayer (jeg er sikker på at noen mennesker fortsatt har det installert) og mer - og du får se hvor mye plugins øker angrepsoverflaten din. Hvert plugin må oppdateres separat ved hjelp av sin egen oppdateringsbehandling. Mens nettleservirksomhetene er under stor kontroll for å skrive sikker kode, synes ikke pluginutviklere å ha samme brann i deres bryst, og mange av dem har fryktelige sikkerhetsregistre.
Den gode tingen om å kompromittere et plugin er at du kan kompromittere flere plattformer samtidig. Finn et sikkerhetshull i Flash, og du kan kompromittere nesten alle nettlesere på planeten - Internet Explorer på Windows, Safari på Mac, Firefox på Linux - Du kan løpe vilt.
Automatiske oppdateringer?
Plugins er langt bak nettleserne når det gjelder sikkerhetspraksis, spesielt automatiske oppdateringer. Google Chrome, Mozilla Firefox, og til og med Internet Explorer oppdateres nå automatisk automatisk. Til sammenligning kontrollerer Oracles Java-plugin for oppdateringer en gang i måneden som standard. Og i stedet for automatisk oppdatering, viser det et lite systemstatusfelt som mange uerfaren brukere vil ignorere. Visst, du kan øke oppdateringsfrekvensen, men dette er ikke oppførselen til et selskap som bryr seg om sikkerhet. Det er ikke rart at Chrome blokkerer Java fra å kjøre som standard og instruerer brukerne til å bare kjøre den på nettsteder de stoler på.
I stedet må nettleserne ha plukket opp plugin-utviklernes slakk og svarteliste eldre pluginversjoner for å forhindre at de kjører. Adobe Flash har nylig hoppet ombord på den automatiske oppdateringsvognen, men de burde ha startet for mange år siden.
Statistikk
Du trenger ikke å gå langt for å finne studier om hvor stort et nettleserplugg for et problem er. Vi har allerede oppdaget at nettleserplugger bør oppdateres ofte, men:
- En studie fra mai 2011 viste at 40% av Java-plugins i naturen var unpatched. (Kilde)
- En november 2011-studie fant at 94% av Adobe Shockwave, 70% av Java, 65% av Adobe Reader og 42% av QuickTime-installasjonene i bedriften var ute av dato. (Kilde)
Fremtiden er plugin-less
Browser plugins er på vei ut. Engang var nettleserplugger nødvendige - du vil trenge spesielle videospillplugger bare for å spille av videoer på nettsider. Adobe Flash la til mange funksjoner på nettet når Microsoft stoppet utviklingen i Internet Explorer og dro til Internet Explorer 6 for å rote og stagnere. IE 6 er fortsatt et problem for denne dagen Hvis du fortsatt bruker IE6 Du er et problem [Opinion] Hvis du fortsatt bruker IE6, er du et problem [Opinion] IE6 var det beste av det beste da det kom ferskpresset ut av Microsofts programvarefabrik. På grunn av det var det i stand til å oppnå rekord 95% nettleser markedsandel på høyden av ... Les mer .
Nå HTML5 10 nettsteder å se hva HTML5 er alt om 10 nettsteder å se hva HTML5 handler om Les mer og akselerere nettleser utvikling er på randen av forfallende plugins helt. Nye plattformer som iOS, Windows Phone og Metro-miljøet på Windows 8 støtter ikke Flash. Adobe støtter Flash, men Adobe har endt utviklingen på Flash for mobil Adobe stopper utviklingen av Flash-plugin for mobil [Nyheter] Adobe stopper utviklingen av Flash-plugin for mobil [Nyheter] I et overraskende trekk (eller ikke så overraskende), avsluttes Adobe sin utvikling av Flash-plugin for mobile nettlesere. Ifølge Adobes offisielle kunngjøring vil de nå fokusere sin innsats på HTML5 i stedet, som den ... Les mer. Det er bare et spørsmål om tid før de slutter å utvikle Flash for stasjonære datamaskiner og fokusere på å utvikle forfatterverktøy som output til HTML5.
Hva du kan gjøre
Første ting er først: avinstaller plugin du ikke bruker til å redusere angrepet overflaten. Du kan se hvilke plugins du har installert fra nettleserens pluginbehandling. Skriv om: plugins i adressefeltet på Chrome, åpne tilleggsvinduet og velg Plugins i Firefox, eller velg Administrer tilleggsverktøy i Verktøy-menyen i Internet Explorer. For å faktisk avinstallere pluginene, bruk kontrollpanelet En sjekkliste for vårrengjøring for din PC Del 2: Slett søppelpost og fri bortkastet plass [Windows] En Spring Cleaning-sjekkliste for PCen Del 2: Slett søppelpost og fri bortkastet plass [Windows] Regular PC vedlikehold er ofte forsømt, noe som fører til tapte harddiskplass og et oppblåst operativsystem som går stadig langsommere. For å unngå en fryktet Windows-reinstallasjon, bør du utføre en grundig opprydding minst ... Les mer .
Hvis du bruker et plugin og holder det installert, må du holde det oppdatert. Mozilla tilbyr en nyttig side som skanner pluginene dine og sjekker om de er oppdaterte - det fungerer med alle nettlesere, ikke bare Firefox.
Du kan også aktivere “Klikk for å spille” støtte i Chrome eller installere et tillegg som Flashblock for Firefox Slik holder du Firefox fra å få uutholdelig langsom Slik holder du Firefox fra å bli uutholdelig sakte Jeg liker ikke Firefox. Jeg tror det er en monolittisk, stor, tung nettleser, og dens XPI-baserte arkitektur føles sakte og datert. Firefox er mer fleksibelt enn andre nettlesere som Chrome, men det går også gradvis ... Les mer. For å aktivere klikk for å spille i Chrome, klikk på skiftenøkkelmenyen, velg Innstillinger, klikk Vis avanserte innstillinger, klikk Innholdsinnstillinger-knappen og aktivere Klikk for å spille under Plug-ins. Dette forhindrer at plugins kjøres på nettsider til du eksplisitt tillater dem.
Hva synes du om nettleserplugger og sikkerhetsproblemene rundt dem? Legg igjen en kommentar og gi oss beskjed.
Utforsk mer om: Google Chrome, Java, Mozilla Firefox, Safari Browser.