[img=right]http://www.macfreak.nl/base/data/news/images/FlashPlayer.jpg[/img]We hebben de afgelopen tijd al het een en ander geschreven over het ontbreken van Flash op zowel de iPhone/iPod touch als de iPad. Daaruit blijkt duidelijk dat Flash langzaamaan steeds meer onder vuur komt te liggen, en daar komt nu Charlie Miller ook nog bij.

Charlie Miller is een oude bekende, hij heeft al meerdere keren Pwn2Own-wedstrijd gewonnen op de CansecWest Conference en zo gedemonstreerd dat hij weinig moeite heeft om verschillende platforms binnen korte tijd te hacken.

En in dit interview staan de volgende vraag en antwoord:

In your opinion, which is the safer combination OS+browser to use?

That’s a good question. Chrome or IE8 on Windows 7 with no Flash installed. There probably isn’t enough difference between the browsers to get worked up about. The main thing is not to install Flash!

Wat is in jouw opinie de veiligste combinatie van besturingssysteem en browser om te gebruiken?

Dat is een gode vraag. Chrome of Internet Explorer op Windows 7 zonder dat Flash is geïnstalleerd. Er is waarschijnlijk te weinig verschil tussen de brossers om je druk over te maken. Het belangrijkste is om Flash niet te installeren!


De reden dat hij trouwens Windows 7 in plaats van Mac OS X aanraadt is omdat Windows 7 ASLR heeft en omdat Java of Flash niet standaard wordt geïnstalleerd. Mijzelf heeft het trouwens verbaasd dat Apple geen ASLR in Snow Leopard heeft ingebouwd, dat was volgens mij geen overbodige luxe geweest.

Maar zoals altijd is de grootste open deur op iedere computer de browser (logisch, omdat we daarmee het net op gaan) en dan vooral in combinatie met Flash.

Jammer genoeg geeft Charlie Miller geen antwoord of ClickToFlash, dat alleen Flash actief maakt als je daar voor kiest, een goed lapmiddel is voor diegenen die toch Flash willen gebruiken. Ik heb daar zelf mijn twijfels bij, omdat Flash op dat moment toch klaar staat en dus waarschijnlijk ook actief is.

Waarom is een browser met Flash geinstalleerd onveiliger
dan zonder?

Omdat Flash kennelijk relatief makkelijk te hacken is.

Lekker suggestief weer allemaal. Sinds Steve Jobs de aanval op Flash heeft geopend is het kennelijk noodzakelijk daar hard aan mee te doen. Ik doe niet mee aan deze hetze en ga er geen woorden meer aan vuil maken maar wacht rustig af waar Adobe mee gaat komen.

Blijft voor een groot gedeelte theoretisch en klinkt een beetje
als blijf binnen dan kan je het minste overkomen.

Ik neem het kleine beetje risico voor lief en vind bijvoorbeeld
de integratie van Safari en pdf prettig.

Nog een flash tip onder leopard:
Als je bij toon info de optie open in 32 bits modus aanvinkt
loopt flash een stuk sneller. Misschien wordt je dan ook wel
sneller gehackt!

Er zijn al jaren discussies over het nut, de veiligheid en de kwaliteit
van Flash (al dan niet op OSX). Alleen nu Steve Jobs openlijk heeft
verklaard dat hij Flash knudde vindt worden al deze discussies veel
meer in het licht geschoven.

Ik kan me zo'n 4 jaar geleden al discussies herinneren op diverse
webdevelopment sites/blogs, die vonden dat Flash te pas en onpas
werden gebruikt voor "leuke effectjes", terwijl de bandbreedte voor
een te groot deel van de bezoekers niet écht goed genoeg waren om
al dit geweld te tonen. Én dat Flash altijd nogal bruut werd geïmplementeerd
in plaats van gebruikt te worden als plugin, wat het in feite nog steeds is.

Feit blijft dat Adobe de Flash plugin voor OSX (zelfs vóór OSX) altijd een
beetje minder goed heeft geupdate/gestroomlijnd als de PC-variant.
Nu het zo openlijk wordt besproken komen ze langzaam aan op de proppen
met toekenning dat het inderdaad in het verleden een beetje een achtergesteld
kindje was geweest op 't OSX-platform. Of Flash nu verdwijnt of niet, ik denk
dat het in de nabije toekomst wel een stuk(je) beter wordt.
Of we nu html5 met video-embedding krijgen of een Flash 11, nu steeds meer
mensen zich bewust worden van de gebreken in codering en mogelijkheden
zal de ontwikkeling van beide platformen ook een stuk sneller gaan.
Zolang ze niet wéér 50 nieuwe plugins verzinnen zal de gebruiker er in dit
geval mooi op vooruit gaan

Mvg,
Joram

@Robert: ClickToFlash maakt het browsen een stuk veiliger, omdat er alleen maar code wordt uitgevoerd wanneer je zelf toestaat dat een bepaald stukje Flash mag laden.

Maar nu snap ik nog steeds niet
waarom en op welke manier Flash
onveilig kan zijn.