Precies een jaar na de brutale introductie van Google Chrome Frame, is de omstreden plugin voor Internet Explorer stabiel, meldt Google. Het internetbedrijf werkt bovendien aan een volgende versie, die zonder administrator-rechten op Windows kan worden geïnstalleerd.
Dit betekent dat systeembeheerders weinig zicht zullen hebben op wie Chrome Frame op z’n pc zet. En dat terwijl de software volgens zowel Microsoft als Mozilla een security-nachtmerrie is.
Chrome binnen in IE
Exact een jaar geleden kwam Google plots met Chrome Frame op de proppen. Deze open source plugin activeert zowel de WebKit- als de Javascript-engine van Chrome in Internet Explorer 6, 7, of 8. Microsoft reageerde direct dat de plugin IE 8 dubbel zo onveilig maakt. Mozilla schaarde zich opmerkelijk genoeg achter Microsoft. De maker van open source-browser Firefox had eveneens felle kritiek op Google.
Google verzekert nu dat het hard heeft gewerkt aan de security- en privacykwesties van Chrome Frame. Bovendien is de snelheid van de plug-in dramatisch verbeterd.
HTML5 voor IE
Webdevelopers kunnen Chrome Frame activeren met een speciale metatag in de http header. Vervolgens switcht IE dan van zijn native rendering en Javascript-engines naar die van Chrome, Webkit en V8. Zodoende kunnen ook gebruikers van een ouderwetse legacybrowser van de geneugten van HTML5 en snel Javascript genieten, stelt Google.
Bedankt, nu ik het zie herken ik het ook weer. :)
En hop, de aanvallen vloeien naadloos over. Het zit je wel echt dwars niet waar?
KS heeft al zolang als ik hem ken een buitengewoon grote hekel aan Google, dat is geen geheim. Ik maak dus niets nieuws bekend. Tevens staat KS bekend om zijn wijze van uiten, die goed verwoord wordt in zijn Avatar. Ik neem dus aan dat hij wel wat kan hebben.
En als ik zo'n roze blik had gehad, was het dan niet logischer geweest dat ik voor het nieuwe Chrome Frame was geweest? Of dat ik de nieuwe privacy statements van Google had toegejuicht?
BTW. Kom je nog met info over het blocken van executables? Of blijft het bij dreinen?
Iedreen die het niet met je eens is heeft blijkbaar een rode waas;) dat vloekt zeker met je rosé blik...
Portable apps installeer je dus niks aan, dat is gewoon een executable die klaar is om in je user space te draaien, enige wat nodig is eventueel is schrijfrechten in je my documents of iets dergelijks folder wat je toch al hebt.
Yup, quote van de Google Chrome Frame FAQ:
For many sites, adding a tag to every page may be cumbersome, so GCF also supports detection through an HTTP header with the same name and value:
X-UA-Compatible: chrome=1
Je zal het overigens ongetwijfeld wel op een of andere manier kunnen blokkeren, maar ik wou meer zeggen dat enkel de meta tag blokkeren niet voldoende is :-).
Kan gebeuren!
Als een programma de beveiliging kan omzeilen is er gewoon iets mis met die beveiligings instellingen. Dan kan je niet de software de schuld gaan lopen geven. Zo heeft de beveiliging natuurlijk helemaal geen zin. "jaaa het blocked wel veel van wat de willen maar niet alles. Voor datgene wat wel doorkomt zeggen we gewoon dat het niet mag."
Wat bedoel je? Kan je Google Chrome nu al activeren via informatie in je responce en is dat niet te blokkeren voor een proxy?
Dat is mooi. ik was het nog nergens tegengekomen dus ik wist niet of het uberhaupt kon.
Wel jammer dat je niet wat meer info post over hoe je het kan blokkeren. Daardoor zou het een mooi leermoment kunnen worden, in plaats van alleen een sneermoment.
Tja, ik ben geen netwerkbeheerder. Er zijn dus zaken die ik niet weet. En ik ben ook niet te beroerd om dat toe te geven.
Ik ben nog geen bedrijf tegen gekomen waar ik geen executables vanaf de USB stick kon uitvoeren. het lijkt er dus op dat het niet veel ingezet wordt.
Het is dus maar de vraag of het Google Frame wel geblocked wordt bij de meeste bedrijven.
Eh.. het lijkt mij dat een bedrijf dat niet wil dat hun werknemers software kunnen installeren, dat op hun wensenlijstje zetten tijdens hun OS keuze.
Eh.. het lijkt mij dat een bedrijf dat niet wil dat hun werknemers software kunnen installeren, dat op hun wensenlijstje zetten tijdens hun OS keuze.
voorkomen dat uitvoerbare bestanden via een usb stick uitgevoerd worden is de gangbare oplossing hiervoor. Maar je hebt gelijk, daarvoor moet je wel Windows tools kennen en blijkbaar moet je daarvoor wat kennis verwerven ;)
ja, geen probleem.
Geen idee waarom dat trouwens een probleem zou zijn..misschien kun je dat uitleggen?
Kan je het op XP helemaal uitschakelen zonder de werking van Windows zelf te verstoren?
Natuurlijk is het dat. Als ik portable Firefox meeneem op een USB stick is het ook het probleem van het bedrijf dat ik het kan starten.
Ik begrijp dat je denkt dat je het installeren van software op Windows kan voorkomen. Weet je dat zeker? Een executable op een stick is al voldoende om niet geautoriseerde software te starten. Je kan USB poorten soms misschien blokkeren of dicht kitten, maar hoever moet je gaan?
Als een bedrijf niet wil dat gebruikers zelf software installeren, dan schakelen ze die mogelijkheid toch gewoon uit?
Dat is dan het probleem van die bedrijven. Meer keus/mogelijkheden is alleen maar goed.
Als bedrijven het mogelijk maken dat gebruikers zelf software kunnen installeren zonder admin-rechten, lopen ze nu eenmaal dergelijke risico's. Dat geldt voor alle software die zonder admin-rechten geinstalleerd kan worden.
Je mening over alles wat zelfs maar ruikt naar Google is zo langzamerhand algemeen bekend. Als jij de naam hoort krijg je een rode waas voor de ogen. Geeft niks, alleen jammer dat je het zo afreageert op je omgeving.
Google Chrome Frame had hiervoor de BETA status, het werd ook enkel aangeraden voor developers om ermee te spelen en bugs te melden etc.. Dat er dan idioten zijn die het alvast voor alles gaan gebruiken is een ander verhaal, de eerste versie was namelijk alles behalve stabiel.
Wel is van portable apps gehoord, wat de standaard versie van Google Chrome is? Je hebt dus geen admin rechten nodig omdat je ook niks daadwerkelijk installeert, dan kan je wel fijn met policies gaan klooien om installaties te voorkomen, maar dan moet je ook gelijk gebruik van usb sticks / downloaden etc.. blokkeren.
Hoe ze dat dan met Google Chrome Frame gaan oplossen is me dan verder een raatsel, vraag me af hoe je in IE namelijk een plugin actief krijgt zonder dit eerst te installeren / registreren bij IE. MS houdt nogal van zen knullige registry dus daar zal je vast het e.e.a. in moeten plaatsen om de plugin te kunnen activeren, maargoed ze zullen vast wel een vindingrijke oplossing daarvoor verzinnen ik ben benieuwd naar het resultaat :-).
Meta tag blocken heeft weinig zin, betere optie is om Google Chrome Frame te activeren door een extra header mee te sturen met je response, waar de plugin ook op wordt geactiveerd.
Overigens gaan we dit voor onze webapplicatie zeker testen, we blokkeren nu al gebruik van IE6 en IE7 maar als je klanten dan een snelle optie kan bieden door Google Chrome Frame support te bieden (i.p.v. verplichten te upgraden naar IE8) wat nu eindelijk stable is, is dat mooi meegenomen :-).
Dat hangt van de doelstellingen en bezoekersprofiel van de betreffende site af. Maar ik ben inderdaad, als de site niet al te zeer afhankelijk is van bezoekers vanaf een corporate netwerk, geneigd om te checken of het in IE8 nog een beetje toonbaar is en IE6 verder maar te laten lieren.
Als je uitgangspunt is dat het er op Firefox, Safari, en Opera zo moet uitzien als jij in gedachten hebt dan kun je lekker werken met HTML5 technieken. Voor IE8 kun je terugvallen op gracefull degradation: dan maar geen ronde hoeken, schaduwen of animaties, het ziet er minder mooi uit maar je levert nog steeds dezelfde basisinformatie. Ik zie dat niet als het maken van een browser specifieke website.
Quatsch!
Leg eens uit wat er precies onsmakelijk aan is. En leg eens uit wat haat hiermee te maken heeft.
Net als bij liefde maakt haat ook blind. Alleen ga je door haat ook nog eens onsmakelijke uitspraken doen.
Dan zal Google wel liegen. Zij beweren dat ze het gaan doen, ik niet.
Wat heb ik nu weer verkeerd gezegd dat ik 4 minnetjes krijg voor een volledig on-topic reactie?
Oh, kwalijk omdat het daar om persoonlijke tragedies handelt?
Het principe is hetzelfde: als je een product op de markt brengt met tekortkomingen dan kun je achteraf niet zeggen: "Je hoefde het toch niet te gebruiken?". In die zin is de opmerking van Bas erg naief.
Misschien moeten die bedrijven eens na gaan denken over een andere update strategie voor web-browsers. Je kunt je natuurlijk afvragen of het gebruik van IE6 wel zo veilig is.
Ik vind dit nogal een kwalijke vergelijking (understatement).
Zegt ie dat dan? Volgens mij niet. Geen zin hebben is niet hetzelfde als niet doen. Ik heb ook nooit zin om sites aan te passen voor IE6 en in mindere mate IE7 maar ik doe het wel. Aan de andere kant kan ik niet wachten op het doodvonnis van deze twee brakke browsers.
Ja, dat kan je achteraf ook tegen de gebruikers van softenon zeggen.....
Godbetere zeg: ze brengen toch een product op de markt!?
Euhh.. je kunt er toch voor kiezen dit niet te gebruiken?
Dus jij wil je bezoekers verplichten om altijd met de nieuwste versie van een browser te gebruiken (of een framework te installeren)? Dat is hetzelfde als een website maken die alleen te bekijken is in bijvoorbeeld Chrome. Geen één bedrijf zal dat goed vinden. Je zult de komende jaren altijd nog oude browsers/html versies moeten blijven ondersteunen.
Zo, een jaar? Chapeau!
Dus ze introduceren iets wat nog een jaar lang security en privacykwesties heeft?!?!?! Zo gaat Google dus met de 'klanten' om.... Je bent guinee pig, of je nu wil of niet...
Daar kan ik me iets bij voorstellen. Zo zouden duidelijke en eenduidige standaarden in een redelijk tempo ook een groot goed zijn, maar nog een paar bruggen te ver vrees ik.
webkit draait ( en misschioen doen ze daa riet saan) als application server. Ik kan me geen goed beheerde computer voorstellen waar een normale gebruiker dit werkend krijgt. Onder windows 7 heb je daarnaast bijv de lock down die alleen approved apps laat draaien op een beheerde computer. ( al speelt de IE6 discussie dan waarschijnlijk niet meer ;)
Uit het filmpje:
Daar kan ik me nou helemaal bij aansluiten. Als je de mogelijkheden van HTML5, CSS3 en snel Javascript ontdekt hebt, dan heb je toch helemaal geen zin om te gaan plierten om je site op IE werkend te krijgen. Dat kost een hoop tijd die feitelijk niet productief is. Het alternatief dat Google biedt is daarom vanuit het oogpunt van een webdeveloper uitermate aantrekkelijk.
Het komt op mij over als een vrijwel identieke kopie van de manier waarop Flash ooit de internetwereld veroverd heeft. Snap niet waarom je daar zo verontwaardigd over moet doen.
Op zich ben ik dat wel met je eens. Maar dat zou ik dan aan de bedrijven over laten om zoiets te beslissen. Door nu een versie te ontwikkelen die geen admin rechten nodig heeft, maken ze het bedrijven een stuk moeilijker om hiervoor heldere regels op te stellen.
Persoonlijk zou ik liever twee browsers instellen, als je dan toch vast zit aan IE6. Één voor het intranet en/of de web apps en één voor het verkeer naar buiten.
Volgens het artikel niet:
Waar Swhnld waarschijnlijk op doelt is de conservatieve houding van sommige bedrijven, waar door deze plug-in wellicht omheen te werken is.
Voor zover mij bekend komt Webkit met Google Frame mee, dus je aanname lijkt me erg optimistisch. Ik denk juist dat Google aan deze uitvoering werkt om WebKit op juist die pc's te krijgen.
Als het een plugin is zoals een plugin werkt bij Firefox dan krijg je het wel werkend.
Ik krijg althans geen pop up dat adblock+ op mijn pc zonder admin rechten niet kan worden toegevoegd aan firefox. Als deze plugin net zo werkt dan is het puzzelen geblazen om add ons tegen te gaan houden.
En alleen zonder admin rechten krijg je dit dan NOOIT? op je PC geïnstalleerd in een grote organisatie.
ik neem aan dat er een woord ontbreekt.. de webkit en dergelijke zouden al vooraf op de pc aanwezig moeten zijn. dat kan een gebruiker op een goed beheerde pc nooit zelf doen. Voor een bedrijf is dit dus niet echt een probleem erbij.
Voor thuisgebruikers maakt het de zaak nog onoverzichtelijker en dus gevaarlijker.
Aan de andere kant, veel bedrijven gebruiken het niet kunnen bezoeken van bepaalde websites als reden om niet van IE6 af te stappen, als je die reden onderuit haalt, moeten ze een ander excuus verzinnen. En alleen zonder admin rechten krijg je dit dan op je PC geinstalleerd in een grote organisatie.
Verder kan het voor bepaalde organisaties die met legacy zooi zitten dat in IE moet ook handig zijn met de plugin te werken waardoor de gebruikerservaring verbeterd wordt.
Dat is het leuke. Het heeft, voor zover mij nu bekend, geen security problemen op dit moment. Waar het Microsoft en Mozilla om gaat is dat het de potentie heeft om security problemen te veroorzaken.
Ik vind het zelf trouwens ook niet echt een goed idee is om een versie vrij te geven waarvoor je geen admin-rechten nodig hebt, want dat maakt het voor bedrijven toch een stuk minder beheersbaar.
Ligt het security probleem bij de plug-in of IE ... denk het laatste, het is IE die de plug-in met alle zogenaamde security problemen doorlaat. Als Google het kan waarom zou een hacker het dan niet kunne?
Een nachtmerrie zal wel meevallen, maar het is inderdaad een potentiele extra aanvalsvector.
Het tegengaan van misbruik hoeft niet heel lastig te zijn voor bedrijven. Gewoon die meta tag blocken en je bent klaar. Als die tag niet binnen kan komen dan is het ook niet meer mogelijk om het frame te starten lijkt me.
Reageer
Preview