Gepubliceerd: Woensdag 23 december 2009
Er zijn zeker 8 miljoen Flash-reclames die kwetsbaar zijn voor xss-aanvallen. Daarnaast wordt nu een veelgebruikte adserver misbruikt om malafide reclames te verspreiden.
Toon volledig artikel
Flashblock heeft geen zin meer als je noscript gebruikt. Het kan zelfs conflicten opleveren als je de combinatie Flashblock/noscript gebruikt, en wel hierom:
1. Flashblock heeft JavaScript nodig om te kunnen werken (net zoals de meeste advertenties, overigens), noscript blokkeert dan de correcte werking van flashblock.
2. Flash kan al worden geblokkeerd door noscript. Flashblock is dus niet meer nodig voor een noscript gebruiker.
Nu vraag ik me af: Waarom Flash Ads en geen Silverlight Ads? Is Silverlight zo goed en niet te misbruiken voor dit soort doeleinden?
Gezien er speciale documentatie van Microsoft is en DoubleClick voor de overname de intentie had dit te gaan exploiteren lijkt me haast dat het er wel moet zijn, welliswaar op een veel kleinere schaal (US only misschien). Maar ik vroeg me dat dus af, geizne beide eigenlijk hetzelfde kunnen en volgens sommige Silverlight zelfs meer. Nu is de penetratie van Silverlight welliswaar lager, maar ik ben dus benieuwd waarom het niet wordt gebruikt of misbruikt wordt.
Gezien er speciale documentatie van Microsoft is
Dat Microsoft het graag zou zien betekent niet dat het ook zo is.
en DoubleClick voor de overname de intentie had dit te gaan exploiteren lijkt me haast dat het er wel moet zijn,
Je zegt zelf al: "voor de overname". Ik gok dat dat na de overname heel anders lag.
Maar dan nog, Silverlight heeft een beroerde install-base in vergelijking met Flash. Aangezien bannerboeren vooral graag willen dat zoveel mogelijk mensen hun spul zien vind ik het een logische keuze dat ze voor flash gaan.
En om op je oorspronkelijke vraag terug te komen:
Is Silverlight zo goed en niet te misbruiken voor dit soort doeleinden?
Het is van Microsoft. Ik zou m'n adem niet inhouden als ik jou was.</cynisme>
Maar Silverlight zou het alternatief zijn voor Flash. Zeker als je ziet hoe vaak die rommel gepatched moet worden en hoe massaal de misbruik is.
maar ik ben dus benieuwd waarom het niet wordt gebruikt of misbruikt wordt.
Het wordt niet gebruikt, dus het wordt niet misbruikt.
Misschien is Silverlight beter, maar dat moet gaan blijken wanneer het gebruikt gaat worden. Waarom advertentie bedrijven het nog niet gebruiken? Het lijkt mij, omdat Silverlight nog lang niet op alle pc's geïnstalleerd staat. Als adverteerder wil je niet dat je lezer eerst een plugin moet installeren voordat hij je ad kan zien.
Vandaar ook dat doubleclick de intentie had om op de sportsites te gaan adverteren met Silverlight ads. Die gebruikten zelf ook Silverlight om hun content aan te bieden. Maar of die intentie ooit in de daad is omgezet, heb ik geen idee van. Gezien de doodse stilte denk ik dat het geen enorme successtory is geworden.
Waarom Flash Ads en geen Silverlight Ads?
Omdat je die laatste met een vergrootglas moet zoeken misschien? Om een xss lek te kunnen vinden in een Silverlight ad, moet je eerst een Silverlight ad zien te vinden.
De vraag op zich vind ik ook wel interessant, waarom zijn er zoveel Flash ads en bijna geen Silverlight Ads?
En alweer dat sturen... Zal alweer verbeelding zijn.
En alweer dat sturen... Zal alweer verbeelding zijn.
Ligt er geheel aan waar jij denkt dat ik op aan stuur. ;)
Het is op zich een storm in een glas water, zoals dit probleem wordt omschreven. Ik bedoel, de search die hij aangeeft, die 8 miljoen resultaten genereert, zegt niets of dit probleem ook uitgebuit kan worden.
Het feit dat de FlashVar 'ClickTag' gebruikt wordt, betekend niet dat deze te misbruiken is. Zo kan de ontwikkelaar de variabele updaten in de movie (door middel van XML of gewoon hardcoding), waardoor dit probleem al niet bestaat.
Ook is dit geen XSS lek. Het is het starten van een flash animatie met daarin de waarde van een variabele van te voren ingevoerd. Dit betekend niet dat je daardoor toegang krijgt tot login gegevens in enige manier.
Met Flash-ad rotators is het zelfs een omweg, want met een simpele 'view source' zie je alle informatie die nodig is voor de advertentie direct (double-click etc.) Het is ook geen gevoelige informatie.
Het probleem ligt hem eerder in de tussenlaag die wordt aangesproken om in een database weg te schrijven (Flash kan niet rechtstreeks in een database schrijven), als deze niet goed geprogrammeerd is om XSS tegen te gaan.
Oftewel, het is niet zo vreemd dat deze meneer geen reacties krijgt op zijn bevindingen, omdat het niets met Flash te maken heeft. De codes die hij aanhaalt op zijn pagina zijn standaard methoden die helemaal niet onveilig hoeven te zijn.
Vooral als men met FlashPlayer 9 of 10 kijkt, werkt het zelfs lastiger omdat het gebruik van crossdomain.xml files verplicht is voor extern dataverkeer. Dat betekend dat alleen de server of het domein dat expliciet toegang tot de data heeft data terug mag ontvangen in Flash. Dus zelfs al zou je het hele URL weten, via Flash krijg je de info niet terug. Niet met Fiddler, niet met iets anders.
Het is nu al maanden bezig; het ene Adobe-reader na het andere Adobe-flash lek, en echt goede patches, ho maar ! !
Je moet inderdaad aardig van wanten weten om deze lekken te misbruiken maar die kennis is alom tegenwoordig......
Natuurlijk kun je e.e.a. aardig omzeilen met FF-ads, maar dat kan niet elke gewone gebruiker; waarom blijft men deze (inmiddels) rommel gebruiken ??
Waarom wordt deze ondeugdelijke software niet door elke ontwikkelaar geweigerd......
Mij dunkt dat er genoeg alternatieven zijn.
Gesloten standaarden zoals Flash en silverlight horen niet thuis in een publiek netwerk. Gewoon overstappen op HTML-5 en ondertussen de ontbrekende functionaliteit alsnog invoeren middels een echt open, patentvrije standaard (HTML-6 ?).
Het is inderdaad zo dat straks met HTML 5 de advertenties van websites bijna niet meer te blokken zullen zijn tenzij advertentie blokkers HTML gaan blokkeren en aan de fundamenten van het web gaan zagen.
Wat dat betreft zijn natuurlijk grote adverteerders een groot voorstander van HTML 5. Zeker nu het marktaandeel van Firefox met vaak adblok plugins toeneemt is er behoefte aan advertenties die direct in de html pagina kunnen worden geintegreerd en niet meer afhankelijk zijn van bijvoorbeeld flash.
blieb: Het is inderdaad zo dat straks met HTML 5 de advertenties van websites bijna niet meer te blokken zullen zijn tenzij advertentie blokkers HTML gaan blokkeren en aan de fundamenten van het web gaan zagen.
Kun je ook uitleggen waarom?
Volgens mij werken adblokkers op basis van een url. Advertenties worden namelijk meestal op aparte servers gehost, onafhankelijk van de rest van de content van de website. Een adblocker heeft een blacklist van IP-adressen van servers waar de advertenties op ge-host worden. Door die IP-adressen te blokkeren, blokkeer je dus (alleen) de advertenties.
(Ze zullen ook wel op sub-domeinen filteren maar het voorbeeld lijkt me duidelijk.)
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
