Store mengder sikkerhetshull, stor utbredelse og brukere som er trege til å installere sikkerhetsoppdateringene har ført til at nettleserplugins som Flash og Java har blitt blant av de viktigste angrepsvektorene for IT-kriminelle.
Som et tiltak mot denne typen angrep, planlegger Mozilla nå, som første nettleserleverandør, å deaktivere kjøring av plugin-basert innhold i nettleseren som standard.
I dette blogginnlegget beskrives en løsning som kalles for «click-to-play plugins». Den har mye felles med nettlesertillegg som FlashBlock. Den store forskjellen er at den innebygde Firefox-funksjonen vil gjelde alle som ikke deaktiverer den, i stedet for bare de som selv aktivt velger at det plugin-baserte innholdet skal blokkeres.
Dersom brukeren kommer inn på et nettsted som inneholder plugin-basert innhold, vil det dukke opp et varsel om dette i adressefeltet til nettleseren. I tillegg vil plugin-basert innhold som det er avsatt plass til på websiden (en del slikt innhold kan kjøres i bakgrunnen, for eksempel lydavspilling), representeres av en dialog hvor brukeren kan klikke med musen for å starte avspillingen.
Det skal være mulig for brukerne å lage en hviteliste over nettsteder hvor de vil at plugin-basert innhold alltid skal kjøres i Firefox.
Ifølge blogginnlegget er planen at denne funksjonaliteten skal komme i Firefox 14. Den vil trolig bli lansert i midten av juli.
Denne funksjonen kan få stor betydning, nettopp fordi den gjelder alle brukerne av nettleseren – ikke bare de som har kunnskap eller interesse nok til å installere en tredjeparts utvidelse.
Selv om markedsandelen til Firefox har gått noe ned de siste årene, så brukes nettleseren fortsatt av mellom 20 og 25 prosent av pc-brukerne globalt. Fra sommeren av vil en stor del av disse ikke lenger bli vist Flash-, Java- og Silverlight-innhold de ikke selv aktivt velger å se. I tillegg kommer alle de som benytter en plattform som overhodet ikke har støtte for nettleser-plugins.
I tillegg til de IT-kriminelle, som får vanskeligere kår – spesielt dersom andre nettleserleverandører følger etter – så vil mange selskaper som annonserer på weben måtte tenke nytt. Det er trolig få som vil klikke på de blanke feltene for å få opp budskapet fra annonsørene. Mye av den samme funksjonaliteten som ofte benyttes i annonsene, kan i mange tilfeller tilbys med teknologier som støttes direkte av alle moderne nettlesere.
Les også:
- [26.09.2012] Ny kritisk Java-sårbarhet
- [21.09.2012] 3 av 4 har ikke oppdatert Java
- [28.08.2012] Nå bør du deaktivere Java
- [01.02.2012] Microsoft oppfordrer til plugin-fri web
- [25.11.2011] Flash-tilhengere plukker opp hansken
- [16.09.2011] Glem både Flash, Silverlight og Java
