1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Security: Werbung auf Youtube…

Wieder mal: Kein Flash -> kein Problem

  1. Thema

Neues Thema


  1. Wieder mal: Kein Flash -> kein Problem

    Autor: Werni 27.02.14 - 12:16

    Flash bringt mir als Endnutzer nur Probleme, keinerlei Vorteile.

    Es will mich vom herunterladen von Videos abhalten
    Es muss dauernd geupdated werden
    Es stellt Funktionen zur Nutzerverfolgung bereit

    usw. usf.

    Also, warum sollte ich es installieren?

  2. Re: Wieder mal: Kein Flash -> kein Problem

    Autor: 0xDEADC0DE 27.02.14 - 12:38

    Werni schrieb:
    --------------------------------------------------------------------------------
    > Also, warum sollte ich es installieren?

    Weil manche Seiten ohne nicht funktionieren... so wie bei Java auch. Gut ist, dass deren Anzahl stetig sinkt. Und wenn man solche Seiten nicht besucht, hat man kein Problem damit.

  3. Re: Wieder mal: Kein Flash -> kein Problem

    Autor: Sammie 27.02.14 - 13:10

    Werni schrieb:
    --------------------------------------------------------------------------------
    > Flash bringt mir als Endnutzer nur Probleme, keinerlei Vorteile.
    >
    > Es will mich vom herunterladen von Videos abhalten
    > Es muss dauernd geupdated werden
    > Es stellt Funktionen zur Nutzerverfolgung bereit
    >
    > usw. usf.
    >
    > Also, warum sollte ich es installieren?

    Das gleiche Szenario hätteste aber auch mit herkömmlichen Mitteln machen können. Die Doubleclick-Werbung hat im Grunde gar nichts mit Flash zu tun, da sie ja nur Javascript einbettet, das das Iframe an den DOM hängt. Das hätte man genauso mit nem HTML5-Player machen können, der die gleiche DoubleClick-Werbung schaltet.

    Die wirkliche Gefahr ging eigentlich von Java aus, das scheinbar ohne Zutun des Nutzers durch reines Ansurfen der Seite einen Trojaner auf dem System installieren konnte.

  4. Re: Wieder mal: Kein Flash -> kein Problem

    Autor: FritzDaCat 27.02.14 - 14:05

    Nein du sprichst ganz am Thema vorbei. Hier geht es ganz und allein darum darzustellen wie schlecht Flash ist. Alles andere ist nicht relevant!

  5. Re: Wieder mal: Kein Flash -> kein Problem

    Autor: Werni 27.02.14 - 15:12

    FritzDaCat schrieb:
    --------------------------------------------------------------------------------
    > Nein du sprichst ganz am Thema vorbei. Hier geht es ganz und allein darum
    > darzustellen wie schlecht Flash ist. Alles andere ist nicht relevant!

    Wie es ein Vorposter schon richtig dargestellt hat, die eigentliche Sicherheitslücke lag in Java. Flash ist hier 'nur' Mittel zum Zweck, ein Werbebanner kann man auch als Bild darstellen. Aber ein Bild hätte ja nicht die Möglichkeit, dem Benutzer (ohne Nachfrage) eine andere Webseite unterzuschieben. Und diese Möglichkeit kreide ich Flash an.

    Und zu dem anderen Post weiter oben: Wer seine Seite so erstellt, dass sie ohne Flash nicht funktioniert, will wohl keine Nutzer...

  6. Re: Wieder mal: Kein Flash -> kein Problem

    Autor: Dadie 27.02.14 - 15:28

    Werni schrieb:
    --------------------------------------------------------------------------------
    > Flash bringt mir als Endnutzer nur Probleme, keinerlei Vorteile.
    >
    > Es will mich vom herunterladen von Videos abhalten
    > Es muss dauernd geupdated werden
    > Es stellt Funktionen zur Nutzerverfolgung bereit
    >
    > usw. usf.
    >
    > Also, warum sollte ich es installieren?

    Lassen wir beiseite, dass HTML5 und JavaScript genau diese Funktionalitäten die du Gerade als Nachteile von Flash aufzählst bekommen ...

    Flash Anwendungen haben durch aus ihren Sinn. Wenn du z.B. per Vertrag verpflichtet bist gewisse Schutzmaßnahmen aufzubauen wie z.B. DRM, kommst du an Flash kaum bis gar nicht vorbei. Bei komplexen Animationen kann Flash Vorteile gegenüber SVG oder APNG bieten.

    Flash ist daher nicht schlecht, hat jedoch einen schlechten Ruf. Ich denke wenn Adobe sich mehr geöffnet hätte bezüglich der Spezifikationen ggf. sogar eine Referenz VM OpenSource gestellt hätte, dann sähe das Ganze heute anders aus. Die meisten Benutzer denken bei Flash nur an nervige Werbung und Media-Player, dabei kann Flash so viel mehr.

    Um dich hier aber zu beruhigen, JavaScript in seiner heutigen Form ist ein größeres Risiko als es Flash jemals war. Flash bildete effektiv immer eine logische Einheit die mehr oder weniger vom übrigens HTML Konstrukt abgekapselt war. Bei JavaScript dagegen verschwimmt das Ganze sehr stark. Die Sprache JavaScript ist leider auch das Gegenteil von gut spezifiziert und an die Spezifikationen die existieren halten sich die Hersteller auch nur relativ wage.

    Durch die Notwendigkeit von JavaScript zur Navigation von heutigen Webseiten ist es bei den meisten Benutzern fast konstant aktiv. Und JavaScript Sicherheitslücken gibt es genau so viele wie es Flash Sicherheitslücken gibt.

    Letztlich ist es den Malware Autoren egal ob sie eine Flash oder eine JS-Engine Sicherheitslücke ausnutzen. Wer glaubt JavaScript wäre sicherer als Flash der glaubt auch an den Weihnachtsmann. JavaScript hat nur den Vorteil dass dessen Spezifikationen öffentlich sind. Nur das hilft einem auch nicht viel wenn der Papier-Tiger von jedem Browser anders interpretiert wird.

    Was nicht zuletzt bis heute ein Grund ist Flash einzusetzen. Hier muss man nur geringen Wartungsaufwand betreiben damit die Software/Webseite korrekt funktioniert. Bei JavaScript dagegen (gerade mit den Autoupdatern heutiger Browser) läuft man Gefahr alle Tage die Software updaten zu müssen. Nicht umsonst wird heute kaum noch vanilla JavaScript benutzt und fast nur noch ausschließlich auf Frameworks wie z.B. jQuery gesetzt.

  7. Re: Wieder mal: Kein Flash -> kein Problem

    Autor: GodsBoss 27.02.14 - 22:17

    > Flash ist daher nicht schlecht, hat jedoch einen schlechten Ruf. Ich denke
    > wenn Adobe sich mehr geöffnet hätte bezüglich der Spezifikationen ggf.
    > sogar eine Referenz VM OpenSource gestellt hätte, dann sähe das Ganze heute
    > anders aus. Die meisten Benutzer denken bei Flash nur an nervige Werbung
    > und Media-Player, dabei kann Flash so viel mehr.
    >
    > Um dich hier aber zu beruhigen, JavaScript in seiner heutigen Form ist ein
    > größeres Risiko als es Flash jemals war. Flash bildete effektiv immer eine
    > logische Einheit die mehr oder weniger vom übrigens HTML Konstrukt
    > abgekapselt war. Bei JavaScript dagegen verschwimmt das Ganze sehr stark.

    Exakt das ist der große Nachteil von Flash und nicht "der schlechte Ruf" - es war immer ein Fremdkörper in HTML-Seiten.

    > Die Sprache JavaScript ist leider auch das Gegenteil von gut spezifiziert
    > und an die Spezifikationen die existieren halten sich die Hersteller auch
    > nur relativ wage.

    Die eigentliche Sprache ist sehr wohl sehr genau spezifiziert und wird von den Browsern auch bis auf minimale (i.d.R. vernachlässigbare) Unterschiede exakt so umgesetzt - das Problem sind eher die Schnittstellen, wobei sich da heute schon vieles stark verbessert hat.

    > Durch die Notwendigkeit von JavaScript zur Navigation von heutigen
    > Webseiten ist es bei den meisten Benutzern fast konstant aktiv. Und
    > JavaScript Sicherheitslücken gibt es genau so viele wie es Flash
    > Sicherheitslücken gibt.

    Bei mir ist NoScript mit Whitelist aktiv, geschätzt blockiere ich über 90% JavaScript und aktiviere es nur auf Seiten, die mich erstens wirklich interessieren und die zweitens wirklich voraussetzen, dass man es braucht. Das sind übrigens nicht so viele, wie du es gerade darstellst, kann aber natürlich auch an meiner Auswahl liegen.

    > Letztlich ist es den Malware Autoren egal ob sie eine Flash oder eine
    > JS-Engine Sicherheitslücke ausnutzen. Wer glaubt JavaScript wäre sicherer
    > als Flash der glaubt auch an den Weihnachtsmann. JavaScript hat nur den
    > Vorteil dass dessen Spezifikationen öffentlich sind. Nur das hilft einem
    > auch nicht viel wenn der Papier-Tiger von jedem Browser anders
    > interpretiert wird.

    Es ist nicht ganz dasselbe - da in jedem Browser das gleiche Flash-Plugin zu finden ist, betrifft eine Sicherheitslücke dort jeden Browser (mit Plugin), vor einigen Jahren waren das noch locker 95%. Eine Lücke in der JS-Engine betrifft nur den oder die Browser mit der entsprechenden Engine.

    > Was nicht zuletzt bis heute ein Grund ist Flash einzusetzen. Hier muss man
    > nur geringen Wartungsaufwand betreiben damit die Software/Webseite korrekt
    > funktioniert. Bei JavaScript dagegen (gerade mit den Autoupdatern heutiger
    > Browser) läuft man Gefahr alle Tage die Software updaten zu müssen. Nicht
    > umsonst wird heute kaum noch vanilla JavaScript benutzt und fast nur noch
    > ausschließlich auf Frameworks wie z.B. jQuery gesetzt.

    Naja, das Prinzip der Feature Detection ist nun nicht ganz neu und mit Flash holt man sich dafür andere Nachteile ins Haus. Mit JS kann ich z.B. einen Link erzeugen - einen stinknormalen, vom Browser perfekt verständlichen Link, bei dem der Nutzer das vom Browser gewohnte Kontextmenü erhält und mit dem er wie gewohnt navigieren kann. Mit Flash geht das prinzipbedingt nicht.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  8. Re: Wieder mal: Kein Flash -> kein Problem

    Autor: dopemanone 28.02.14 - 08:49

    Werni schrieb:
    --------------------------------------------------------------------------------
    > FritzDaCat schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nein du sprichst ganz am Thema vorbei. Hier geht es ganz und allein
    > darum
    > > darzustellen wie schlecht Flash ist. Alles andere ist nicht relevant!
    >
    > Wie es ein Vorposter schon richtig dargestellt hat, die eigentliche
    > Sicherheitslücke lag in Java. Flash ist hier 'nur' Mittel zum Zweck, ein
    > Werbebanner kann man auch als Bild darstellen. Aber ein Bild hätte ja nicht
    > die Möglichkeit, dem Benutzer (ohne Nachfrage) eine andere Webseite
    > unterzuschieben. Und diese Möglichkeit kreide ich Flash an.

    natürlich gibts diese möglicheit ganz genauso mit html. flash ist im prinzip hier völlig irrelevant. einfach java runter und gut ist. flash kann in ein paar jahren dann auch runter :)

    ps: http://www.youtube.com/html5

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Resident Engineer (m/w/d)
    Delta Energy Systems (Germany) GmbH, Großraum Stuttgart
  2. Application Manager (w/m/d)
    ING Deutschland, Frankfurt am Main
  3. Koordinatorin / Koordinator (w/m/d) im operativen Betrieb der Rechenzentren
    Informationstechnikzentrum Bund (ITZBund), Bonn
  4. IT-Service Desk Manager und IT & OT -Device Administrator (m/w/d) Kennziffer 23/37 | Vollzeit
    SONAX GmbH, Neuburg an der Donau

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. basierend auf Verkaufszahlen
  2. 219,99€ (mit Vorbesteller-Preisgarantie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Digitale-Dienste-Gesetz: Regierung bessert bei der Störerhaftung nach
Digitale-Dienste-Gesetz
Regierung bessert bei der Störerhaftung nach

Bei der Umsetzung des DSA in deutsches Recht soll der Schutz vor kostenpflichtigen Abmahnungen nun doch beibehalten bleiben.
Ein Bericht von Friedhelm Greis

  1. Störerhaftung Verbraucherschützer befürchten neue Abmahnwelle bei WLANs

Super Mario 64 (1996): Als Mario die dritte Dimension eroberte
Super Mario 64 (1996)
Als Mario die dritte Dimension eroberte

Super Mario 64 ist ein Grund, warum das Nintendo 64 zum Erfolg wurde. Unser Golem retro_ zeigt, wie das Spiel ein ganzes Genre definierte.
Von Oliver Nickel

  1. Mega Man 2 (1988) Mega Man rockt

Zbox Pico PI430AJ: Flotter Mini-PC mit Solid-State-Kühlung
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung

Die fast lautlosen Kühler von Frore Systems funktionieren gut. Mehr Leistung auf so kleinem Raum ist kaum möglich. Eine ARM-CPU wäre aber spannend.
Ein Test von Martin Böckmann