Veiligheidslek Flash: Flash uitzetten of downgraden
-
- Berichten: 410
- Lid geworden op: 12 oktober 2003, 22:36
- Locatie: Enschede
-
- Berichten: 2539
- Lid geworden op: 21 december 2004, 20:16
- Locatie: Alkmaar, Nederland
Dat is prachtig! Daar bestaat al heel lang een bugrapport van, dat je plugind niet aan of uit kunt zetten.nirwana schreef:Met een recente nightly build van Firefox 3 kun je nu ook Flash (en andere plugins) via het Addons-venster uitschakelen. Aan het Addons-venster wordt dan een Plugins-tabblad toegevoegd en daarmee kun je je plugins direct beheren.
Zie http://www.squarefree.com/burningedge/2 ... nk-builds/ en https://bugzilla.mozilla.org/show_bug.cgi?id=339056
Vervolgens kun je dan waarschijnlijk gewoon een bladwijzer aanmaken op je bladwijzerwerkbald naar 1 of andere chrome:// url, die direct dat specifieke tabblad laadt.
Alleen gebruik ik geen nightly builds, dus voor mij nog even wachten, maar ik 'behelp' me prima met mijn extensie Plugin Manager

Bedankt voor de info!adri schreef:Nog even een aanvulling: als je gebruik maakt van no-ads.pac heb je daar verbluffend weinig last van.adri schreef: Met FlashBlock kun je dat veel mooier doseren (dus alleen het spelletje en niet de rotzooi).
-
- Berichten: 2539
- Lid geworden op: 21 december 2004, 20:16
- Locatie: Alkmaar, Nederland
Let op: de scan vind plaats op je locale netwerk, dus achter een evt. firewall/modem/router.Z_God schreef:Ik vind niet dat dit een veiligheidslek te noemen is. Ik zou het mogelijkheid tot misbruik noemen.
Je kan nu iemand een poortscan laten doen als diegene jouw applet start, zo spannend is dat nu ook weer niet zou ik zeggen.
Ik krijg hun test hier trouwens niet aan de praat.
Heb je b.v. lokaal een ftp servertje draaien, wat voor buitenwereld niet zichtbaar is, want achter firewall, en waar root ook op mag inloggen, voor het gemak, en omdat het toch achter een het modem/router/firewall zit, dan is dus zichtbaar dat die poort op het binnennetwerk openstaat.
In combinatie met misschien een ander lek kan jet mogelijk misbruikt worden, men is immers al achter de firewall.
-
- Berichten: 410
- Lid geworden op: 12 oktober 2003, 22:36
- Locatie: Enschede
Ik begrijp dat je hier een opstelling met NAT & IP masquerading bedoelt. Dan is dat inderdaad mogelijk. Maar zoals je zelf ziet zijn er wel een hoop extra voorwaarden nodig. Daarnaast is een router natuurlijk eigenlijk geen firewall. En dan nog kan er eigenlijk geen schade aangericht worden.Manuel schreef: Let op: de scan vind plaats op je locale netwerk, dus achter een evt. firewall/modem/router.
Heb je b.v. lokaal een ftp servertje draaien, wat voor buitenwereld niet zichtbaar is, want achter firewall, en waar root ook op mag inloggen, voor het gemak, en omdat het toch achter een het modem/router/firewall zit, dan is dus zichtbaar dat die poort op het binnennetwerk openstaat.
In combinatie met misschien een ander lek kan jet mogelijk misbruikt worden, men is immers al achter de firewall.
In ieder geval zal ik hiervoor geen Flash disablen. Alleen als de rest van je systeem onveilig is, kan dit dus een echt probleem worden. Gnash vind ik wel een goed plan

-
- Berichten: 2539
- Lid geworden op: 21 december 2004, 20:16
- Locatie: Alkmaar, Nederland
Ik begrijp dat een modem geen echte firewall is, maar het houdt toch wel een hoop zooi tegen, n.l. alle verkeer dat van buitenaf geinitieerd wordt, tenzij ik expliciet poorten openzet in dat modem.
Een hoop extra voorwaarden? Valt wel mee, dacht ik. Laatst b.v. was er een browserlek (in javascript) waarbij de instellingen van je router aangepast zouden kunnen worden, dus ook een poort openzetten.
Welnu, 1 + 1 = 2 = toegang tot b.v. een misschien heel slecht geconfigureerde ftp server, omdat ie toch aan de veilige binnenkant draait. Of wat voor dervice dan ook.
Een hoop extra voorwaarden? Valt wel mee, dacht ik. Laatst b.v. was er een browserlek (in javascript) waarbij de instellingen van je router aangepast zouden kunnen worden, dus ook een poort openzetten.
Welnu, 1 + 1 = 2 = toegang tot b.v. een misschien heel slecht geconfigureerde ftp server, omdat ie toch aan de veilige binnenkant draait. Of wat voor dervice dan ook.
-
- Berichten: 410
- Lid geworden op: 12 oktober 2003, 22:36
- Locatie: Enschede
Mja, ik zeg dan: 1 + 1 + 1 = 3
En als medenetwerkgebruikers onhandig genoeg zijn om te denken dat ze een onveilige FTP server kunnen draaien, zit daar natuurlijk het echte beveiligingsprobleem.
Dit probleem in Flash is natuurlijk stom, maar beveiliging moet wel ook op de juiste plek aangepakt worden.
In een normaal geval zet je bijvoorbeeld een IP filter op die FTP server.
Over enkele jaren zal iedere computer gewoon weer een publiek (IPv6) adres hebben & dan verdwijnt al die semi-beveiliging van al die NATs. Het is dus belangrijk om alles op orde te hebben.
En als medenetwerkgebruikers onhandig genoeg zijn om te denken dat ze een onveilige FTP server kunnen draaien, zit daar natuurlijk het echte beveiligingsprobleem.
Dit probleem in Flash is natuurlijk stom, maar beveiliging moet wel ook op de juiste plek aangepakt worden.
In een normaal geval zet je bijvoorbeeld een IP filter op die FTP server.
Over enkele jaren zal iedere computer gewoon weer een publiek (IPv6) adres hebben & dan verdwijnt al die semi-beveiliging van al die NATs. Het is dus belangrijk om alles op orde te hebben.
-
- Berichten: 2539
- Lid geworden op: 21 december 2004, 20:16
- Locatie: Alkmaar, Nederland
Niet helemaal mee eens. Een NAT router geeft wel degelijk beveiliging, maar alles is natuurlijk te kraken, want 100% veilgheid bestaat niet.Z_God schreef:Mja, ik zeg dan: 1 + 1 + 1 = 3
En als medenetwerkgebruikers onhandig genoeg zijn om te denken dat ze een onveilige FTP server kunnen draaien, zit daar natuurlijk het echte beveiligingsprobleem.
Maar hoe zeer moet je de boel dan beveiligen? Dit is b.v. een interessante link:
http://www.cochiselinux.org/files/syste ... g-10.2.txt
Maar de auteur van die pagina zegt zelf ook:
WARNING: Hardening a system is a compromise between security and usability. Some of the things I do would adversely affect the usability of your system and may very well break things.
Maar de server draait alleen binnen het lokale netwerk, en er is maar 1 gebruiker op dat lokale netwerk...Z_God schreef:Dit probleem in Flash is natuurlijk stom, maar beveiliging moet wel ook op de juiste plek aangepakt worden.
In een normaal geval zet je bijvoorbeeld een IP filter op die FTP server.
Ik blijf toch mooi gewoon achter een NAT router zitten, hoorZ_God schreef:Over enkele jaren zal iedere computer gewoon weer een publiek (IPv6) adres hebben & dan verdwijnt al die semi-beveiliging van al die NATs. Het is dus belangrijk om alles op orde te hebben.

-
- Berichten: 410
- Lid geworden op: 12 oktober 2003, 22:36
- Locatie: Enschede
Als je nooit met VoIP, streams, games of andere moderne multicast of P2P technologiën wil gaan werken, dan is dat een optie ja. Alleen zal je voor het WWW zelfs al flink moeten gaan proxyen in de toekomst.Manuel schreef:Ik blijf toch mooi gewoon achter een NAT router zitten, hoor
Overigens is het 1 + 1 + 1 + 1 + 1, want er moet ook een lek in je browser en in je router zitten.
Ik volg je punt over 100% veiligheid ook niet. Als ik gewoon geen services draai (dat lijkt mij gewoon op een gemiddelde pc), dan is er toch ook niets wat te kraken valt?
-
- Berichten: 2539
- Lid geworden op: 21 december 2004, 20:16
- Locatie: Alkmaar, Nederland
Al die dingen gebruik ik inderdaad niet, er hoeft bij mij dus geen enkele poort in het modem open, alles dicht.Z_God schreef:Als je nooit met VoIP, streams, games of andere moderne multicast of P2P technologiën wil gaan werken, dan is dat een optie ja. Alleen zal je voor het WWW zelfs al flink moeten gaan proxyen in de toekomst.Manuel schreef:Ik blijf toch mooi gewoon achter een NAT router zitten, hoor
Nee, niet in je router, via dat lek (ben de details even kwijt) kon iemand met slechte bedoelingen gewoon toegang krijgen tot de router, via de web interface van het ding.Z_God schreef:Overigens is het 1 + 1 + 1 + 1 + 1, want er moet ook een lek in je browser en in je router zitten.
Maar er worden toch ook lekken gevonden in software die geen service is?Z_God schreef:Ik volg je punt over 100% veiligheid ook niet. Als ik gewoon geen services draai (dat lijkt mij gewoon op een gemiddelde pc), dan is er toch ook niets wat te kraken valt?
-
- Berichten: 410
- Lid geworden op: 12 oktober 2003, 22:36
- Locatie: Enschede
Ok, daar ben ik niet veel bekend mee. Geen browser gebruiken met brakke HTTP Auth dan.Manuel schreef:Nee, niet in je router, via dat lek (ben de details even kwijt) kon iemand met slechte bedoelingen gewoon toegang krijgen tot de router, via de web interface van het ding.Z_God schreef:Overigens is het 1 + 1 + 1 + 1 + 1, want er moet ook een lek in je browser en in je router zitten.
Dan is er geen sprake van hacken, maar van iets als een trojan of inderdaad een informatielek zou ik zeggen. Ik weet niet of dat ook "hacken" te noemen valt, maar ik stel me dan voor dat iemand een bepaalde service probeert te misbruiken.Manuel schreef:Maar er worden toch ook lekken gevonden in software die geen service is?Z_God schreef:Ik volg je punt over 100% veiligheid ook niet. Als ik gewoon geen services draai (dat lijkt mij gewoon op een gemiddelde pc), dan is er toch ook niets wat te kraken valt?
Je kan bijvoorbeeld niet op iemand's computer terecht komen, zonder dat die persoon eerst zelf iets verkeerd gedaan heeft.
-
- Berichten: 2539
- Lid geworden op: 21 december 2004, 20:16
- Locatie: Alkmaar, Nederland
Het lek zat in Firefox...Z_God schreef:Ok, daar ben ik niet veel bekend mee. Geen browser gebruiken met brakke HTTP Auth dan.Manuel schreef:Nee, niet in je router, via dat lek (ben de details even kwijt) kon iemand met slechte bedoelingen gewoon toegang krijgen tot de router, via de web interface van het ding.Z_God schreef:Overigens is het 1 + 1 + 1 + 1 + 1, want er moet ook een lek in je browser en in je router zitten.
Ik had het toch niet specifiek over hacken? Hoe ze binnekomen maakt mij niet zoveel uit.Z_God schreef:Dan is er geen sprake van hacken, maar van iets als een trojan of inderdaad een informatielek zou ik zeggen. Ik weet niet of dat ook "hacken" te noemen valt, maar ik stel me dan voor dat iemand een bepaalde service probeert te misbruiken.Manuel schreef:Maar er worden toch ook lekken gevonden in software die geen service is?Z_God schreef:Ik volg je punt over 100% veiligheid ook niet. Als ik gewoon geen services draai (dat lijkt mij gewoon op een gemiddelde pc), dan is er toch ook niets wat te kraken valt?
'Iets verkeerd doen' bestaat er dan ook uit om daarvoor gevoelige software niet up to date te houden, en dan nog: 100% veilgheid bestaat niet, dud kun je beter iets te veel beveiligingsmaatregelen treffen, dan precies genoeg, vandaar dat ik het wel zinnig vind om Flash even uit te schakelen.Z_God schreef:Je kan bijvoorbeeld niet op iemand's computer terecht komen, zonder dat die persoon eerst zelf iets verkeerd gedaan heeft.
Het gaat me er niet om wie gelijk heeft, het ging me er om om de mensen hier te waarschuwen.
-
- Berichten: 410
- Lid geworden op: 12 oktober 2003, 22:36
- Locatie: Enschede
Dat is wel relevant. Er zijn namelijk maar 2 manieren waarop men binnen kan komen.Manuel schreef:Ik had het toch niet specifiek over hacken? Hoe ze binnekomen maakt mij niet zoveel uit.Z_God schreef: Dan is er geen sprake van hacken, maar van iets als een trojan of inderdaad een informatielek zou ik zeggen. Ik weet niet of dat ook "hacken" te noemen valt, maar ik stel me dan voor dat iemand een bepaalde service probeert te misbruiken.
1. Je draait zelf een brakke service die iemand kan misbruiken (oplossing geen services draaien)
2. Zij krijgen jou zo ver dat je alsnog zo'n service gaat draaien, een zogenaamde backdoor
Een backdoor komt op je PC als je zelf software installeert die zoiets bevat. Een goede oplossing hiervoor is naar mijn mening enkel software installeren die van vertrouwde bronnen komt. Hierbij is het signen natuurlijk heel belangrijk.
Een andere manier om een backdoor aan boort te krijgen is een remote execution vulnerability. Deze kan bijvoorbeeld door een buffer overflow ontstaan en dit is wel iets om voor op te passen. Op dit gebied heeft Mozilla echter een keurig verleden. (Als je wel zo'n lek vindt, krijg je 1000 dollar oid.)
100% veiligheid kan natuurlijk altijd bestaan, zeker als de stekker eruit is. Ik tref zelf nooit aparte maatregelen voor zulk soort beveiliging. Ik vind dat probleem enigszins overrated, maar misschien is dat mijn mening.Manuel schreef:'Iets verkeerd doen' bestaat er dan ook uit om daarvoor gevoelige software niet up to date te houden, en dan nog: 100% veilgheid bestaat niet, dud kun je beter iets te veel beveiligingsmaatregelen treffen, dan precies genoeg, vandaar dat ik het wel zinnig vind om Flash even uit te schakelen.Z_God schreef:Je kan bijvoorbeeld niet op iemand's computer terecht komen, zonder dat die persoon eerst zelf iets verkeerd gedaan heeft.
Dat begrijp ik. Ik vind echter dat het probleem met Flash minder erg is dan het op het eerste oog lijkt bij het woord "veiligheidslek". Daarnaast wil ik erop wijzen dat er veel meer problemen met je systeem zijn als zo'n lek al een probleem kan opleveren en dat het belangrijker is dat die aangepakt worden.Manuel schreef:Het gaat me er niet om wie gelijk heeft, het ging me er om om de mensen hier te waarschuwen.
-
- Berichten: 2539
- Lid geworden op: 21 december 2004, 20:16
- Locatie: Alkmaar, Nederland
Okee,
ik heb de indruk dat je zelf wat meer kaas van zulk soort zaken hebt gegeten dan ik, en soep wordt wat dit betreft vaak wat heter opgediend dan ze gegeten wordt.
Ik bedoel: ik kan niet echt goed beoordelen hoe ernstig dit lek zou kunnen zijn, en 1 lek of lekje is meestal ook niet voldoende om een machiene te compromiteren, het is vaak een aaneenschakeling van kwetsbaarheden.
En/of een gebruiker die maar raak klikt, en/of een brak OS.
Toch denk ik dat het goed is om te weten dat er een lek is wat al langere tijd niet opgelost wordt.
Weet jij trouwens hoe dat zit met het alternatief Gnash + veiligheid??? Ben daar wel nieuwsgierig naar.
Ook nieuwgierig wat jij voor OS gebruikt (zal ik gerust hier op forum wel eens gelezen hebben, maar zulke dingen vergeet ik weer).
ik heb de indruk dat je zelf wat meer kaas van zulk soort zaken hebt gegeten dan ik, en soep wordt wat dit betreft vaak wat heter opgediend dan ze gegeten wordt.
Ik bedoel: ik kan niet echt goed beoordelen hoe ernstig dit lek zou kunnen zijn, en 1 lek of lekje is meestal ook niet voldoende om een machiene te compromiteren, het is vaak een aaneenschakeling van kwetsbaarheden.
En/of een gebruiker die maar raak klikt, en/of een brak OS.
Toch denk ik dat het goed is om te weten dat er een lek is wat al langere tijd niet opgelost wordt.
Weet jij trouwens hoe dat zit met het alternatief Gnash + veiligheid??? Ben daar wel nieuwsgierig naar.
Ook nieuwgierig wat jij voor OS gebruikt (zal ik gerust hier op forum wel eens gelezen hebben, maar zulke dingen vergeet ik weer).
-
- Berichten: 410
- Lid geworden op: 12 oktober 2003, 22:36
- Locatie: Enschede
Dit is zeker waar. Het is een enorme blunder van Macromedia. Maar ik wilde enigszins aangeven dat het niet echt nodig was om hiervoor heel Google Video, Youtube, enz. te moeten missen ;)Manuel schreef:Okee,
ik heb de indruk dat je zelf wat meer kaas van zulk soort zaken hebt gegeten dan ik, en soep wordt wat dit betreft vaak wat heter opgediend dan ze gegeten wordt.
Ik bedoel: ik kan niet echt goed beoordelen hoe ernstig dit lek zou kunnen zijn, en 1 lek of lekje is meestal ook niet voldoende om een machiene te compromiteren, het is vaak een aaneenschakeling van kwetsbaarheden.
En/of een gebruiker die maar raak klikt, en/of een brak OS.
Toch denk ik dat het goed is om te weten dat er een lek is wat al langere tijd niet opgelost wordt.
Ik kan me voorstellen dat ik wat meer met dit soort dingen mee bezig ben inderdaad. (Begin net met een mastertrack Computer Security)
Ik heb geen flauw idee. Ik vermoed dat Gnash, ook omdat het een herimplementatie is, maar ook omdat het open source is, in de praktijk veiliger zal zijn dan Macromedia's Flash.Manuel schreef:Weet jij trouwens hoe dat zit met het alternatief Gnash + veiligheid??? Ben daar wel nieuwsgierig naar.
Zou kunnen dat ik het niet eerder gepost heb hoor. Ik ben ook verschillende keren van OS gewisseld sinds ik hier post.Manuel schreef:Ook nieuwgierig wat jij voor OS gebruikt (zal ik gerust hier op forum wel eens gelezen hebben, maar zulke dingen vergeet ik weer).
Ik draai nu Kubuntu (zowel Feisty als Dapper op verschillende systemen). Een sterk punt van Ubuntu is de policy dat er standaard geen enkele service draait. Dit zorgt voor een zeer robust systeem "out of the box".
Voor een veilig & stabiel systeem adviseer ik op dit moment Kubuntu Dapper.
-
- Berichten: 2539
- Lid geworden op: 21 december 2004, 20:16
- Locatie: Alkmaar, Nederland
Kijk, zie je wel. Bij mij is het louter van overal en nergens samengeraapte kennis, en door de jaren heen een steeds meer groeiend bewust zijn van veiligigheid of het ontbreken daarvan, en een beetje gezond verstand, natuurlijkZ_God schreef:Dit is zeker waar. Het is een enorme blunder van Macromedia. Maar ik wilde enigszins aangeven dat het niet echt nodig was om hiervoor heel Google Video, Youtube, enz. te moeten missenManuel schreef:Okee,
ik heb de indruk dat je zelf wat meer kaas van zulk soort zaken hebt gegeten dan ik, en soep wordt wat dit betreft vaak wat heter opgediend dan ze gegeten wordt.
Ik bedoel: ik kan niet echt goed beoordelen hoe ernstig dit lek zou kunnen zijn, en 1 lek of lekje is meestal ook niet voldoende om een machiene te compromiteren, het is vaak een aaneenschakeling van kwetsbaarheden.
En/of een gebruiker die maar raak klikt, en/of een brak OS.
Toch denk ik dat het goed is om te weten dat er een lek is wat al langere tijd niet opgelost wordt.
Ik kan me voorstellen dat ik wat meer met dit soort dingen mee bezig ben inderdaad. (Begin net met een mastertrack Computer Security)

Dat klinkt zeker logisch!Z_God schreef:Ik heb geen flauw idee. Ik vermoed dat Gnash, ook omdat het een herimplementatie is, maar ook omdat het open source is, in de praktijk veiliger zal zijn dan Macromedia's Flash.Manuel schreef:Weet jij trouwens hoe dat zit met het alternatief Gnash + veiligheid??? Ben daar wel nieuwsgierig naar.
Waarvoor dank! In een andere topic ik iets gevraagd over Debian, ik zie dat je daar op gereageerd hebt, ga ik nu lezen.Z_God schreef:Zou kunnen dat ik het niet eerder gepost heb hoor. Ik ben ook verschillende keren van OS gewisseld sinds ik hier post.Manuel schreef:Ook nieuwgierig wat jij voor OS gebruikt (zal ik gerust hier op forum wel eens gelezen hebben, maar zulke dingen vergeet ik weer).
Ik draai nu Kubuntu (zowel Feisty als Dapper op verschillende systemen). Een sterk punt van Ubuntu is de policy dat er standaard geen enkele service draait. Dit zorgt voor een zeer robust systeem "out of the box".
Voor een veilig & stabiel systeem adviseer ik op dit moment Kubuntu Dapper.