Hlavní navigace

Bezpečnost prohlížečů ohrožují plug-iny, Mozilla chystá tvrdá opatření

Jiří Macich ml. 12. 2. 2013

Mozilla zvažuje, že ve Firefoxu zablokuje veškeré plug-iny. Použít půjdou až na přání uživatele. Jsou plug-iny jako Java, Flash nebo Adobe PDF skutečně tak nebezpečné?

O plug-inech pro webové prohlížeče a technologiích na nich závislých se už delší dobu hovoří a píše převážně negativně. Jde však jen o výstupy nekritických propagátorů otevřených webových technologií, nebo se skutečně z plug-inů stává problém, jehož palčivost postupně eskaluje? Proti plug-inům se používají argumenty jako je bezpečnost, spolehlivost, náročnost a kompatibilita.

Bezpečnost: drive-by útoky ohrožují uživatele

Bezpečnost je problematická především kvůli rostoucímu počtu bezpečnostních chyb umožňujících drive-by útok. Tedy takový, kdy k útoku stačí už samotné načtení webové stránky, aniž by se muselo do akce zapojovat tzv. sociální inženýrství nutící uživatele k součinnosti. Exploit využívají Javu, Flash či třeba Silverlight může zaútočit přímo bez přispění uživatele.

Problém je o to závažnější, že nestačí vyhnout se potenciálně rizikovým webům, jako jsou stránky s nelegálním obsahem, erotické a pornografické weby či různé internetové hazardní herny. K pokusu o útok může vést i z legitimního webu, jenž byl kompromitován. Tím spíše, pokud se zneužije zranitelnosti široce rozšířených publikačních systémů jako je WordPress a jemu podobné systémy.

Plug-iny jsou k útokům vedeným z webu využívanější než samotné prohlížeče. Zatímco prohlížeče dnes mají poměrně efektivní aktualizační mechanismy mnohdy pracující zcela skrytě bez potřeby součinnosti s uživatelem, tak plug-iny mají svá vlastní řešení pro aktualizaci a stahování záplat, která samozřejmě i vinou samotných uživatelů nevykazují takovou míru efektivity.

Podle analýzy útoků za třetí čtvrtletí roku 2012, kterou provedli v Kaspersky Lab, byla Java zneužita k 56 % z nich. Právě k plug-inu této technologie z dílny společnosti Oracle se váže řada bezpečnostních varování z poslední doby poukazujících na kritické bezpečnostní chyby. K 25 % útokům byl zneužit prohlížeč PDF souborů Adobe Reader.

Ten instaluje svůj plug-in do webového prohlížeče k zobrazení PDF dokumentů přímo v jeho okně. Uživateli pak stačí podstrčit odkaz na dokument s exploitem, z něhož uživatel vůbec nemusí vyčíst, že nevede na běžnou webovou stránku, nýbrž na PDF soubor, který se obratem začne načítat díky plug-inu programu Adobe Reader v okně prohlížeče. 

Na třetím místě skončila kompletní platforma MS Windows včetně prohlížeče Internet Explorer, jejichž chyby zneužívaly pouhá 4 % útoků. Další 3 % útoků pak zneužívala chyby v plug-inu Flash Player od společnosti Adobe. To je poměrně nízké číslo, když si vezmeme, jak často se hovoří a píše o jeho nebezpečnosti.  Totéž ovšem lze říci o MS Windows. Každopádně bezpečnost je neoddiskutovatelný problém.

Spolehlivost: pády a mrznutí běžným jevem

Výjimečná shoda panuje napříč tábory tvůrců prohlížečů, když dojde na otázku nejčastější příčiny pádů prohlížečů. Podle tvůrců prohlížečů jsou nejčastějším viníkem nestability právě plug-iny. Některé prohlížeče proto začaly plug-iny izolovat do samostatných procesů, aby pád plug-inu neshodil celou relaci webového prohlížeče.

Tím ovšem problémy se spolehlivostí plug-inů nebyly zdaleka vyřešeny. Například Flash Player má tendenci relativně často zamrzat i na dostatečně výkonných počítačích, čímž ochromuje samotný prohlížeč. Google Chrome nabízí uživateli možnost ukončit (shodit) neodpovídající plug-in a pak jej případně restartovat. S toutéž nabídkou se brzy ve svém prohlížeči setkají uživatelé Mozilla Firefoxu.

Náročnost: energetické nároky nepřejí mobilitě

Otázku náročnosti plug-inů lze rozdělit na dvě složky: výkonnostní a energetická. Nároky plug-inů na výkon nejlépe odhalila módní vlna netbooků, jejichž méně výkonné procesory Intel Atom byly například pro již zmiňovaný Flash Player nedostačující. Docházelo k přetěžování procesoru a mrznutí celého systému. Mimo těchto kritických příkladů jsou plug-iny ovšem i méně nápadnou, leč stejně obtěžující brzdou webových prohlížečů. 

Microsoft proto vybavil svůj Internet Explorer nástrojem, který sleduje vliv plug-inů na výkon prohlížeče a informuje uživatele, nakolik si může polepšit, pokud daný plug-in přestane používat. Je tu ovšem také zmíněná energetická náročnost, která samozřejmě s výkonnostními nároky souvisí. Pro stolní počítače, pokud pomineme ekologický rozměr, nepředstavuje problém.

U přenosných zařízení, kde je výdrž běhu na baterii kritickým atributem, to ovšem neplatí. Apple na svou chytrou mobilní elektroniku Flash a podobné technologie hned na startu odmítl vpustit. To vyvolalo nejdříve spíše negativní reakce, ale později se ukázalo, že Apple vytyčil novou cestu. Flash se postupně stahuje i z konkurenčních zařízení se systémem Android a pro další mobilní platformy s ním Adobe již vůbec nepočítá.

Microsoft chtěl plug-inům vystavit stopku u tabletů a konvertibilních počítačů používajících jeho nová Windows 8. Měl v plánu z dotykové varianty nejnovějšího Internet Exploreru zcela vypustit podporu plug-inů včetně jeho vlastní technologie Silverlight. Nakonec kompromisně s ohledem na zpětnou kompatibilitu povolil na vybraných webech globálního významu používat Flash Player.

Kompatibilita: chytrá elektronika si žádá jiná řešení

A pak je tu ještě kompatibilita. Ta je do jisté míry problematická i v rámci osobních počítačů. Některé plug-iny podporují pouze MS Windows a OS X. Linux zůstává stranou, což by v celkovém pohledu při jeho mizivém zastoupení na osobních počítačích nebyl takový problém. Totéž lze s určitou mírou tolerance říci i o špatné dostupnosti 64bitových plug-inů pro 64bitové prohlížeče a mizerné kvalitě mnohých těch dostupných. 

Horší je to s chytrou elektronikou, kam mají plug-iny buď vstup zakázán (viz Apple a jeho iOS) nebo není zájem je pro jednotlivé platformy a různá zařízení vyvíjet (např. Android a Flash Player). S nástupem HTML 5 a příbuzných technologií se stále více hovoří o nahrazování plug-inů a technologií, které je potřebují, otevřenými a ideálně standardizovanými webovými technologiemi kompatibilními napříč zařízeními: od osobních počítačů přes mobily a tablety po chytré televizory.

Zdá se, že tudy cesta povede, ale bude to chtít čas. Jen si vezměme, kolik let trvalo, než se našla shoda ohledně kodeků, které pro přehrávání audia a videa díky HTML 5 budou podporovány napříč prohlížeči. Když už se našla, tak je tu ještě těžší úkol: přinutit zábavní průmysl lpět na technologiích podporujících DRM (zejm. Silverlight) nebo nabídnout DRM i v HTML 5, ovšem bez šikanování uživatelů a omezování kompatibility. Co asi bude tvrdší oříšek?

Obdobné je to i s dalšími webovými technologiemi, které se tlačí na místa, kde to dosud bez plug-inů nešlo. Třeba WebRTC, což je chystaný webový standard pro služby multimediální komunikace nevyžadující plug-iny (ať už specifické vlastní plug-iny pro konkrétní služby nebo plug-iny technologií Flash či Silverlight). S WebRTC přišel Google. Mozilla jej podporuje, ovšem už se jí nezamlouvá, že se nepočítá s otevřenými kodeky.

Microsoft má k původnímu projektu od Googlu nesčetné výhrady a tak začal pracovat na CU-Web-RTC. Občas se to hodnotí jako určitý truc. Nicméně je třeba vzít v úvahu, že Microsoft má eminentní zájem o čistě webový Skype, takže lze věřit, že má skutečně dobré úmysly předložit W3C ke standardizaci něco, co je podle jeho vlastního názoru vhodnější než WebRTC nesoucí podpis Googlu.

Teď je otázka, co nakonec bude standardizováno ze strany W3C anebo, co se prosadí vlastní technickou kvalitou či tržní silou svých autorů a stoupenců. Další otázkou je, jestli nakonec nebudou různé prohlížeče podporovat různé navzájem nekompatibilní technologie. A podobně je to v mnoha dalších oblastech, kde webové technologie mají nahradit plug-iny.

Prohlížeče přistupují k plug-inům různě

Vzhledem k výše uvedenému tu s námi ještě nějaký ten pátek plug-iny budou a je tudíž zajímavé podívat se, jak jednotlivé prohlížeče hodlají zkrotit jejich neduhy. Hlavně pak na to, jakou nabízejí ochranu proti drive-by útokům, které se s každou další chybou, již obsahují plug-iny pro Flash, Javu či Silverlight, stávají stále aktuálnějším problémem volajícím po systémovém řešení. Pojďme si přiblížit, jak se k tomuto problému staví tři nejrozšířenější webové prohlížeče.

Google Chrome doporučuje nechat plug-iny vždy aktivní

Google Chrome umožňuje aktivovat jednotlivé plug-iny až na vyžádání uživatele, což brání drive-by útokům. Ve výchozím nastavení jsou ovšem veškeré plug-iny aktivní a tato volba je označena za doporučenou. Nicméně spuštění plug-inů až na vyžádání je podporováno. Včetně akceptace výjimek určujících, na kterých stránkách mají být plug-iny aktivovány automaticky.

Nastavit aktivaci plug-inů na vyžádání je v prohlížeči Google Chrome opravdu velmi jednoduché i pro naprostého laika.

Aktivace na vyžádání je možná dvěma způsoby. První je takový, že element na webové stránce, který vyžaduje plug-in, je vyznačen. Může jít třeba o video vyžadující Flash Player. Jakmile uživatel klikne na vyznačenou oblast, tak je konkrétní plug-in aktivován ke zpracování toho jednoho vybraného elementu. Druhou možností je povolit pro danou stránku veškeré plug-iny, a to buď jen pro danou relaci, anebo trvale (vytvoří se výjimka).

Aktivace plug-inů na vyžádání není žádná věda, jak demonstruje Google ve svém webovém prohlížeči.

Google po dohodě s Adobe ke svému prohlížeči již delší dobu přibaluje plug-in Flash Player, o jehož aktualizaci se stará velmi efektivní aktualizační mechanismus samotného prohlížeče. Google Chrome používá tzv. tiché aktualizace, při nichž je uživatel nanejvýš požádán o restart prohlížeče. Jinak si prohlížeč aktualizace řídí sám, za což je ale také kritizován.

Někteří uživatelé to považují za ztrátu kontroly nad softwarovou výbavou svého počítače a nelíbí se jim, že se tiché aktualizace nedají jednoduše vypnout. Každopádně aktualizační mechanismus prohlížeče slouží k aktualizaci i jeho vlastních plug-inů, mezi nimiž je i alternativa za plug-in PDF prohlížeče Adobe Reader založená na technologii společnosti Foxit Software, kterou Google považuje za bezpečnější.

Plug-iny v Internet Exploreru zkrotí jen zkušenější uživatelé

Internet Explorer obsahuje řadu voleb pro správu plug-inů, ovšem zjevně určených pro uživatele, kteří dobře vědí, co dělají. Uživatelská přívětivost je nulová. Nejjednodušším nástrojem pro řadové uživatele je tak filtrování plug-inů (ActiveX), které lze volitelně zapnout na dvě kliknutí. Ovšem tím uživatelské pohodlí při správě plug-inů v podání Internet Exploreru také končí.

Při tomto filtrování se Internet Explorer jeví, jako kdyby plug-iny vůbec nepodporoval. Nutnost použít plug-in pro zobrazení obsahu či jinou funkci webové stránky, je indikována pouze v řádku s webovou adresou. Aktivaci vybraného plug-inu kliknutím na konkrétní element Internet Explorer nenabízí. Jeho filtrování plug-inů (ActiveX) lze dočasně vypnout pouze kliknutím na symbol v adresním řádku, který indikuje, že na stránce došlo k zablokovaní plug-inu.

Spouštění plug-inů na vyžádání v Internet Exploreru zaspalo dobu a jeho jednodušší forma uživatele dostatečně neochrání.

Pak se ovšem spustí veškeré plug-iny na daném webu a dojde k opětovnému načtení zobrazené stránky s již aktivními plug-iny, takže o účinné ochraně před drive-by útoky v tomto případě nelze hovořit. Internet Explorer ji sice nabízí, ovšem nastavení prohlížeče do stavu, kdy skutečně účinně chrání před drive-by útoky, je pro širší uživatelskou veřejnost téměř neschůdné.

Správa plug-inů je v Internet Exploreru pro laiky příliš složitá. Jednoduše použitelná filtrace plug-inů (ActiveX) zase neposkytuje dostatečnou ochranu proti drive-by útokům.

Jak již bylo uvedeno výše, tak Internet Explorer obsahuje nástroj indikující vliv plug-inů na výkon prohlížeče. Upozornění na zastaralé plug-iny či snad přímo aktualizaci alespoň některých z nich nepodporuje. Pouze v nejnovějších Windows 8 je Flash Player pro Internet Explorer, coby předinstalovaná součást systému, aktualizován skrze službu Windows Update, která je ve výchozím nastavení systému aktivní.

To je ale vlastnost Windows 8, nikoliv prohlížeče samotného. Stejně jako synchronizaci oblíbených položek, historie navštívených stránek či uložených hesel ji tak nepřinese nový Internet Explorer 10 do Windows 7. Pakliže se tedy do vydání ostré verze, na které se stále čeká, ještě něco nezmění, ale to není pravděpodobné. Je to škoda, protože Microsoft věří, že záplatovaný Flash Player dokáže k uživatelům Windows 8 dostat dříve než Adobe.

To má s aktualizací svého softwaru obecně dlouhodobé problémy, přestože třeba zrovna Flash Player již delší dobu obsahuje mechanismus tichých aktualizací. Jejich problém je však v tom, že je uživatel musí nejdříve povolit. Google Chrome vysoké efektivity šíření aktualizací dosáhl díky tomu, kvůli čemu je i kritizován: neptá se, jestli smí či nesmí sám aktualizovat.

Mozilla Firefox půjde do tvrdého boje proti plug-inům

Mozilla si téma bezpečnosti plug-inů vzala za své již před několika lety, kdy se o nich mimo nejodbornější kruhy jako o vážné bezpečnostní hrozbě příliš nehovořilo. Už nějaký čas pracuje na zcela nové správě plug-inů ve Firefoxu. Ten nyní má funkcionalitu aktivace plug-inů na vyžádání, ovšem vypnutou právě kvůli už možná přespříliš dlouho trvajícím pracím na nové správě plug-inů. 

Zapnout ji lze přes about:config anebo nejjednodušeji instalací rozšíření Enable Click to Play. Pak je možné plug-iny aktivovat na vyžádání stejně jako v prohlížeči Google Chrome. Mimo to Firefox nyní ověřuje aktuálnost nejrozšířenějších a tedy i nejkritičtějších plug-inů, tedy konkrétně PDF prohlížeče Adobe Reader a pro Flash, Silverlight a Javu.

Firefox podporuje aktivaci plug-inů na vyžádání. Časem si uživatelé zřejmě budou muset požádat o spuštění skoro všech plug-inů nehledě na to, jestli jsou či nejsou aktualizované.

Pakliže Firefox narazí na zastaralou verzi některého z těchto plug-inů, tak její spouštění vždy zablokuje. Uživatel může na konkrétní stránce vybraný plug-in povolit, ovšem nejdříve je informován o možném nebezpečí plynoucím z užívání zastaralé verze plug-inu. Stav plug-inů lze také zjistit prostřednictvím webové služby Mozilla Plug-in Check, na kterou je odkazováno ze správy plug-inů.

Služba i uživatelům konkurenčních prohlížečů zkontroluje nainstalované plug-iny. Pokud narazí na nějaký zastaralý, tak nabídne jeho aktualizaci. Ovšem ne všechny plug-iny umí správně diagnostikovat a pod Internet Explorerem funguje jenom omezeně. Navíc nevede uživatele při aktualizaci plug-nů za ruku až tolik, jak by bohužel občas bývalo třeba u širší uživatelské veřejnosti.

Mozilla však hodlá přitvrdit v represích. Flash Player je nyní ve výchozím nastavení Firefoxu povolený jen při přítomnosti jeho nejnovější verze. Jeho případná starší verze je aktivní výhradně na vyžádání. Mozilla navíc uvažuje, že pouze až na uživatelské vyžádání bude Firefox spouštět veškeré ostatní plug-iny, byť třeba v nejnovější verzi. 

To je hodnoceno jako velmi odvážný krok a padají i slova jako je ukvapenost či přehnanost. Mozille ale zjevně došla trpělivost a tvrdí, že jen chce ochránit uživatele. Pravdou je, že o takovém opatření začala veřejně hovořit až po několikaleté osvětové kampani a různých jiných pokusech řešit potenciálně nebezpečné plug-iny od zobrazování varovné lišty po dálkovou deaktivaci plug-inů ohrožujících uživatele skutečně zásadním způsobem.

Právě po posledním zmíněném instrumentu bylo potřeba v posledních letech sahat hned několikrát (zejména kvůli Javě), takže přísnější přístup k plug-inům není od věci. Navíc lze důvodně předpokládat, že Firefox zůstane věrný své pověsti nejlépe přizpůsobitelného prohlížeče, takže tuto ochranu budou moci uživatelé nějak obejít, pokud budou chtít.

Mozilla se nechystá, že by k Firefoxu začala nějaký plug-in přibalovat. Nicméně pro prohlížení PDF dokumentů vyvinula vestavěný PDF prohlížeč založený čistě na webových technologiích, které je bezpečný tak, jak bezpečný je Firefox. Stačí tak hlídat bezpečnost jednoho produktu a ne několika. Navíc je toto řešení vstřícné k mobilní a spotřební elektronice. 

Již integrovaný PDF prohlížeč bude aktivován v nejbližší major verzi Firefoxu. Podobně se Mozilla chce časem postavit i k technologii Flash. V rámci projektu Shumway již experimentuje se zpracováním elementů využívajících tuto technologii čistě s pomocí webových technologií. Plnohodnotná náhrada za robustní Flash Player z něj zřejmě nevzejde, ale uvidíme, kde Mozilla narazí na limity HTML 5 a JavaScriptu.

Shrnutí: tvůrci prohlížečů se plug-iny zabývat musí

Plug-iny skutečně představují problém, ale ještě nějakou dobu se bez nich na osobních počítačích neobejdeme. Tři nejrozšířenější prohlížeče demonstrují tři různé způsoby přístupu k nejaktuálnějšímu a nejzávažnějšímu problému, kterým jsou drive-by útoky. Internet Explorer nemá proti nim účinnou ochranu, kterou by snadno mohla použít nejširší uživatelská veřejnost.

Google Chrome je na tom díky podpoře aktivace plug-inů až na vyžádání mnohem lépe, ovšem stále ochranu před automaticky spouštěnými plug-iny nechává na uživateli s tím, že prohlížečem je doporučováno nechat plug-iny spouštět automaticky. Mozilla pro Firefox v průběhu prakticky již několika let hledala různá systémová řešení a nakonec zřejmě nasadí to druhé nejpřísnější možné (hned po ukončení podpory plug-inů).

Bude záležet na způsobu jeho implementace, jestli půjde o bezpečnostní killer-feature nebo spíše obtěžování uživatelů. Mozilla má nyní příležitost určit, jak se v dohledné době postaví k nakládání s plug-iny konkurenční prohlížeče. Pustila se na tenký led a v Microsoftu i Googlu jistě budou sledovat, jak se jí ho podaří přejít. 

Jisté je, že tvůrci těch nejkritičtějších plug-inů už léta slibují lepší bezpečnost či pružnější distribuci aktualizací, ovšem bezvýsledně, takže vyřešení problému především s drive-by útoky je zřejmě skutečně na tvůrcích prohlížečů a pak samozřejmě v širším kontextu i na tvůrcích operačních systémů a bezpečnostních řešení, nicméně v první linii jsou právě webové prohlížeče. 

Našli jste v článku chybu?

12. 2. 2013 9:37

No, dopadne to jako před páry týdny s pluginem Java ve Firefoxu. Během týdne jsem snad 15x řešil problém s int. bankovnictvím KB a elektronickým podáním k daním (šlo o domácí uživatele a živnostníky, větší firma si to samo ošéfuje).
Mozilla bloknula Javu, takže stáhnout novější verzi (automatická aktualizace nefunguje korektně na účtech s omezenými právy), zde pro uživatele první zádrhel, neb je to anglicky a on-line instalace jako bonus navíc vnucuje Ask toolbar a nastavení výchozí stránky na A…

12. 2. 2013 14:59

Nox (neregistrovaný)

Koukam, ze internetbanking KB se stava v IT svete pomalu legendarni. Jsem zvedav, zda se doziju toho, kdy to predelaji. Jsou snad jedina vetsi banka v CR, ktera ma tento problem.

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu