Afgelopen week is aan het licht gekomen dat een brok open-source code voor het inlezen en weergeven van beeldbestanden met PNG-formattering niet deugt. Deze PNG-"library" staat op maar liefst 6 manieren open voor allerlei niet bedoelde acties, waaronder zelfs het starten van malafide processen. De library wordt o.a. gebruikt in bekende software zoals Explorer, Mozilla- en Opera-browsers maar ook in (hou je vast) Apple's eigen Mail-applicatie in MacOSX (níet in Safari). Er is nog geen "patch" noch commentaar door Apple gegeven. (Mozilla heeft al een update verstrekt.)

Nu is het gebruik van PNG-beeldbestanden (spreek uit "Ping") gelukkig niet zo populair. Men gebruikt in de Internet-wereld meestal GIF- of JPEG-bestanden, want PNG-compressie probeert weliswaar de voordelen van GIF en JPEG te combineren, maar in praktijk blijken er veel problemen te zijn. De aspecten waarin PNG juist beter dan GIF of JPEG zou moeten zijn, laten het in veel browsers afweten (bijv. zachte transparantie).

Eigenlijk is de 'uitvinding' van de PNG te danken (of te wijten) aan een "ping-ping"-kwestie: bedrijven zoals Adobe en andere grootheden uit de branche wilde van de GIF af. Zij moe(s)ten Unisys steeds geld betalen voor het licenseren van de GIF en daar had men geen zin meer in. Dus werd een "nieuw en beter" bestandsformaat bedacht: de PNG. Maar de PNG ondersteunde geen animatie (GIF wèl) en -zoals gezegd- ging het vaak mis met juist die technieken voor fraaie transparantie. Dus heeft uiteindelijk niemand veel zin meer in de PNG. En deze laatste ontwikkeling zal wel de nekslag zijn voor de populariteit en betrouwbaarheid van de PNG.

@Peter: ik weet niet of je nu een nieuwsbericht citeert, of dat dit je eigen mening is, maar ik ben het hier niet mee eens. De browserproblemen met png beperken zich bij mijn weten tot IE: een browser die op vele fronten archaïsch is. Vergeet niet dat png een officieel mime-type is. En wat bedoel je met: "...maar in praktijk blijken er veel problemen te zijn."? Heb je concrete voordelen?

Er is geen animatie mogelijk in png, maar laten we eerlijk zijn: gif animaties blinken niet uit in schoonheid. Hiervoor is mng en flash geschikter, temeer daar gif-animaties maar 256 kleuren ondersteunen en 1-bits transparantie.

De nekslag voor png? Ik denk het niet, maar dat is mijn persoonlijke mening. Meer info over png is hier te vinden: http://www.libpng.org/pub/png/#history

(Edited by Spikes at 12:44, 7-Aug-2004)

Tikje off-topic:
Hello, hier een webdesigner die met succes aplhatransparante png's heeft gebruikt in een website (die nu offline is trouwens...). Er zijn methoden om het te laten werken. Zie http://www.alistapart.com/articles/pngopacity/. Ze zijn een beetje omslachtig maar totdat Internet Explorer het niet automatisch ondersteund moet het maar met die methoden. Je kan er in ieder geval heeeeeeeele leuke dingen mee doen.

Ik gebruik ook altijd PNG voor mijn websites, en nog nooit een probleem ondervonden. PNG wordt zelfs aangeraden aan de universiteiten hier in België (ik heb 4 jaar toegepaste informatica gestudeerd aan de VUB), dus zoveel zal er wel njiet mis mee zijn.

Ik begin ook meer en meer png te gebruiken, vooral omdat je met transparante GIFs
vaak van die ijselijke gekartelde randen krijgt.

Ik heb onlangs hier een script gepost dat je in je head moet zetten, zodat de alpha
tansparantie wel goed wordt weergegeven in IE op windows, geïnteresseerden moeten
me maar pm-en, mailen, of gewoon eventjes zoeken in het forum

Ik meng een nieuwsbericht met mijn eigen mening. Dat mag

Natuurlijk is Flash het summum van schoonheid in anaimatie !
En ik ben het met iedereen eens als ze zeggen dat GIF vreselijke
animaties maakt (rottige kleurentabel, grove transparantie, zwaar)
maar het werkt overal en altijd en al sinds Napoleon regeerde.

Een PNG die niet meer doet dan JPG of GIF is geen PNG waard.
En juist de mooie mogelijkheden leveren helaas vaak problemen.
Ondersteuning en alpha-transparantie zijn/waren problematisch.
Misschien dat deze zijn opgelost, maar de 'zweem' van "gedoe"
hangt er nog steeds omheen en de recente malaise zal de indruk
alleen maar versterken, vrees ik. Ik heb de PNG ook toegejuichd,
net zoals SVG en andere officiële standaarden. Maar niet alles
wat standaard heet weet alle makers èn gebruikers te bekoren.

Maar graag weer on-topic a.u.b.

Iets meer on-topic dan en afkomstig van de libpng site:

"But on the other (Apple) side of the fence, Microsoft's MSIE 5 for Macintosh has near-perfect PNG support"

http://www.libpng.org/pub/png/pngs-img-ie5mac.html

Toch wel geestig..

Ik ga dan gelijk maar ontopic, al zou ik graag even meegaan over PNG, waar niks mis mee is.

Volgens mij gebruikt Mail niks anders dan wat dingen in het OS om PNG te lezen, dus waarom zou Mail (dus niet het OS) er gevoelig voor zijn?

Dat is 't nu juist: dat blijkt die PNGlib te zijn.
En die staat dus nu onder verdenking.

Inderdaad is MS IE 5 voor Mac een geweldige
versie die zeer browser-standards compliant is !
MS IE voor WIN schijnt een enorme ramp te zijn,
waarbij standaarden aan de laars werden gelapt

Ik denk dat je het probleem in Mail kunt voorkomen door standaard de plaatjes uit te zetten (had ik altijd al ivm spam). Zie Mail: Preferences: Viewing (2e checkbox). Als ik in 'n e-mail de plaatjes wil zien, druk ik gewoon op de knop die boven het e-mailtje wordt weergegeven.

In Safari heb ik natuurlijk wel de plaatjes altijd aanstaan, dus daar helpt dit niet.

Bert

Voor alle duidelijkheid: het gevaar schuilt niet in 'alle' PNG-plaatjes
maar in een programma-onderdeel dat (bij Mac OS X) alleen in Mail
in gebruik is (en dus níet in Safari). Vervolgens moet je dan stuiten
op een plaatje waarin een kwaadaardige toevoeging is aangebracht.

Nog niemand heeft overigens een dergelijke boosdoener aangetroffen
en de kans is dus heel klein dat je via een mailtje zoiets binnenkrijgt.
Je vraagt je af: waarom melden jullie 't dan als 't zo hypothetisch is ?
Omdat als we 't niet melden dan wordt weer gezegd "jullie verzwijgen
een lek en mogelijke virus-aanval voor de Mac en dat is niet eerlijk" !

Laat ik daarom de gelegenheid dan maar gebruiken om aan te geven
dat het virus-probleem echt belachelijk klein is voor Mac-gebruikers.

Ik zou het wel goed vinden als in zo'n nieuwsbericht een bron werd vermeld. Het is me nu allemaal te vaag, en bovendien is neit duidelijk wat nu de 'feiten' zijn en wat de 'mening' van de boodschapper.

De bronnen zijn divers. Zeker 5 websites meldden het
en we kregen ook tips van MacFreaks hierover binnen.
De essentie van de verzamelde informatie is gebundeld
en correct weergegeven. Wil je dat verifiëren of zo ?

Trouwens, als we alleen een bericht zouden overnemen,
kan je net zo goed zelf die vele websites gaan bezoeken.
We hopen juist iets wetenswaardigs eraan toe te voegen.
Het verschil tussen mening en feit is ook best duidelijk.

En wat vind je dan eigenlijk "vaag" aan het bericht ?

@Wat is vaag: Wat is er nou eigenlijk aan de hand? Ze zeggen wel allemaal dat er iets is, maar wat?

Okay: laatste keer, speciaal voor TURVER

IN THEORIE (en da's dus inderdaad nog vaag)
kunnen kwaadwillegen een PNG-bestand voorzien
van extra gegevens die bij de verwerking ervan
door de PNGlib (het 'proces' dat de PNG uitpakt)
tot 'ongeoorloofde/onbedoelde' acties kan leiden.
De PNG zou bijvoorbeeld een URL kunnen openen
waar een programmaatje klaarstaat dat meteen
wordt gedownload, wordt gestart en iets 'doet'.
(Op de PC is een dergelijk lek echt riskant.)

Voor de Mac is 't risico minder: alleen OSX Mail
heeft deze PNGlib in gebruik en kan IN THEORIE
vergelijkbare dingen overkomen. Is dat beter ?

Peter, bedankt voor je moeite, speciaal voor MIJ (en Macceraar dan .

Maar om nog even op je wedervragen in te gaan: het is normaal, ook op MacFreak, dat in nieuwsberichten aan bronvermelding wordt gedaan, en die miste ik in dit oorspronkelijke nieuwsbericht. Inderdaad, ik lees graag ook even de originele bron erop na, en dat heeft niets met achterdocht o.i.d. te maken.

Wat ik vaag vond aan jouw oorspronkelijke bericht, was dat het eigenlijk drie berichten in één waren:
1. PNG library kan beveiligingslek veroorzaken.
2. Ontstaansgeschiedenis van PNG
3. De al dan niet vermeende kwaliteiten van PNG.

Waarbij 2 en 3 vermengd waren met de mening van de boodschapper.
En dat riep dus nogal wat vragen bij mij op:
1. Welke problemen zijn er zoal met PNG?
2. Wat is er niet terecht gekomen van de 'beloften' van PNG?
3. Wat zijn de verschillen precies tussen PNG en GIF en JPEG?
Enz.

Vandaar mijn roep om bronvermeldingen, dan kon ik misschien wat makkelijker antwoorden vinden.

Het betrof meerdere bronnen (diverse via MacSurfer gevonden)
die ik zo 1-2-3 niet meer weet op te hoesten. Maar goed, het is
nu ook al allemaal achterhaald dankzij Apple's 10.3.5 update !

Precies! En dat terwijl MS-klanten nog op een patch zitten te wachten als ik de berichten mag geloven...

@ Turver:

www.macosx.nl refereerde aan deze bron:

news.com.com....

Hmm, net terug van vakantie. Beetje vaag bericht inderdaad.

Nu is het gebruik van PNG-beeldbestanden (spreek uit "Ping") gelukkig niet zo populair.

Laten we op het werk nu net alles dat geen foto is in PNG opslaan? Duizenden plaatjes, de meeste niet voor het web zelf bedoeld. En laat ik nu niemand kennen die P-N-G bestanden de naam ping bestanden meegeeft? Voor ons is PNG heel geschikt voor alle computer gegenereerde afbeeldingen (lijntekeningen en bitmaps). OK, voor GIF bestanden is ook een markt (smileys en advertentie banners) maar ik denk dat het gebruik van PNG bestanden in deze newspost nogal onderschat wordt voor andere markten.

Overigens ken ik mensen die vanwege de problemen van IE op Windows met de transparantie in PNG plaatjes, overgestapt zijn naar Firefox (ok, is nog geen Mac maar het is een begin).

On topic dan maar (hoewel bovenstaande natuurlijk gezien de inhoud van de newspost ook on topic was...): wij mailen die PNG bestanden ook erg veel inderdaad, en daarvoor wordt ook OS X Mail gebruikt dus ik hoop dat ze deze lekkage snel een pleister op plakken.

Pleister is er al, de X.3.5 update.

oogappel om 10:09, 17-08-2004
Pleister is er al, de X.3.5 update.

Jaguar, anybody?

backspinner om 9:46, 17-08-2004
En laat ik nu niemand kennen die P-N-G bestanden de naam ping bestanden meegeeft?

Bekijk de sites van PNG, MNG en JNG maar: ping, ming en jing.

Ze staan in de volgorde van hoe vaak ik ze gebruik (JNG nooit).

Dat is het zelfde als zeggen dat je moet zeggen: "de eifeltoren staat in parie" in plaats van "parijs". Kan iemand (in een ander taalgebied) nog zo leuk verzonnen hebben, ik heb het hier in nederland nog nooit iemand horen zeggen!

backspinner om 10:23, 17-08-2004

Citaat

oogappel om 10:09, 17-08-2004
Pleister is er al, de X.3.5 update.

Jaguar, anybody?

Voor 10.2 was er geloof ik hiervoor ook netjes en snel een security update. (Hoe zit dat eigenlijk met de laatste SP voor XP, waarom is die er niet voor 2000?)

(Bewerkt door Bram Beernink om 17:07, 17-08-2004)