Geen stiekeme updates voor Flash Player
De stiekeme updates van Google Chrome werken fantastisch, maar het is niet iets wat Adobe voor Flash Player wil toepassen, zo laat het in een interview met Security.nl weten. Flash Player zit standaard geïnstalleerd in Google Chrome. Het grote voordeel van de integratie is dat gebruikers een betere ervaring krijgen en dat ze automatisch worden geüpdatet, aldus Adobe beveiligingstopman Brad Arkin. "De Google Chrome Updater heeft een fantastische updatecurve." Dit is hoelang het duurt voordat gebruikers op een nieuwe versie zijn overgestapt. Bijna 98% van de Chrome-gebruikers is binnen 48 uur geüpdatet. Arkin is dan ook zeer te spreken over het feit dat Flash-gebruikers op Chrome eenvoudig en zonder enige moeite worden gepatcht. Toch zijn er ook nadelen. "Het kost veel werk om de integratie te beheren."
Arkin merkt op dat Adobe gebruikers zoveel mogelijk wil helpen met het updaten. Het bedrijf werkt ook samen met de Personal Software Inspector van het Deense Secunia. De bekende tool voor het controleren van versies op Windows systemen. "Het integreren met succesvolle update-mechanismen is zeker aantrekkelijk, maar het is aan de partner om die mogelijkheid te bieden. Een samenwerking vereist twee kanten."
Firefox
In het geval van Firefox krijgen gebruikers een pagina te zien dat ze een oude Flash Player gebruiken en ze via de aangeboden link de laatste versie kunnen installeren. Volgens Arkin helpt dit vanuit een 'awareness' perspectief, maar gebruikers die te druk zijn of het updaten teveel werk vinden, kunnen dit nog steeds overslaan. "Het heeft geholpen om meer gebruikers up-to-date te houden, maar het is niet zo effectief als de Firefox en Chrome updaters."
Ondanks dat Arkin een voorstander van de Chrome updater is, kiest Adobe niet voor het "stiekem" patchen. Bij het ontwerp van de Adobe Reader Updater werd deze mogelijkheid al onderzocht. "Onze filosofie bij Adobe is dat we gebruikers altijd tenminste twee opties willen geven." Eén optie is het zelf installeren van de updates. Daarnaast zijn er in Reader ook de opties semi- en volautomatische updates. Ook bij een eventuele aanpassing van de Flash Player Updater zal Adobe gebruikers altijd een keuze geven.
"Volledige automatische, stille updates hebben een fantastische updatecurve, het is echter niet de juiste oplossing voor alle gebruikers en daarom willen we altijd een keuze bieden." Adobe is wel bezig met het onderzoeken van een derde mogelijkheid voor het updaten van Flash, zodat gebruikers dit automatisch kunnen laten plaatsvinden. "Maar we hebben geen plannen hierover aan te kondigen."
Patchcyclus
Arkin ging ook nog in op de updates voor Reader en Acrobat. Nu verschijnen er elk kwartaal updates voor de PDF-lezers en daar zal Adobe niet van afwijken. In de zomer liet het bedrijf nog weten dat het een maandelijkse patchcyclus overwoog. "We kijken altijd naar de beste manier om onze gebruikers up-to-date te houden." Niet zolang geleden lanceerde Adobe de nieuwe Updater voor consumenten die Reader of Acrobat gebruiken. Het bedrijf is van plan om ook bedrijven de programma's eenvoudig te laten updaten. Daarvoor komt het voor het einde van het jaar met een oplossing.
"We zijn altijd bezig om de kosten voor het uitrollen van updates te verlagen." Daarbij is het ook belangrijk om gebruikers van tevoren in te lichten, net zoals Microsoft doet. Daarom verschijnen ook de Adobe patches elke tweede dinsdag om de drie maanden.
De tijd tussen de updates is volgens Arkin een lastig onderwerp. "Sommige klanten zijn enthousiast over het idee om elke maand updates voor Adobe producten uit te brengen." Andere kanten maken zich hier juist zorgen om, omdat ze al zo druk met Microsoft en Oracle zijn. "Het op dezelfde dag toevoegen van de updates van een grote softwareleverancier betekent meer werk." Adobe vroeg gebruikers wat dan een goede dag zou zijn, maar daar kreeg het geen eenduidig antwoord op. "Waar we nu mee bezig zijn is het verlagen van de kosten voor gebruikers en het verhogen van transparantie en voorspelbaarheid."
Ik wil namelijk precies weten wat er op mijn PC's/servers gaat gebeuren, voordat er iets gebeurt. Om te beginnen heb ik er een hekel aan als allerlei software voortdurend naar huis belt (waarbij ik er maar op moet vertrouwen dat het om non-personally identifiable information gaat en ze m'n IP-adres er niet bij opslaan) en ik dat niet uit kan schakelen, al was het maar om de verspilde PC en netwerk resources. Het gaat hierbij niet alleen om "privacy" (van mezelf) maar ook bedrijfsgegevens, gegevens van klanten en/of van andere software die op m'n PC is geinstalleerd. N.b. ik maak me (wellicht onterecht) minder zorgen over verzamelde gegevens als het om leveranciers gaat die een naam te verliezen hebben en/of waar ik een koopovereenkomst mee heb (zoals Microsoft en m'n antivirusboer).
Auto-updates wil ik persoonlijk helemaal niet (behoudens virusscanner, hoewel ook niet risicoloos). Het gebeurt me te vaak dat updates bijwerkingen hebben, vooral op systemen die t.g.v. aanvullende beveiligingsmaatregelen niet standaard meer zijn (*). Hetzelfde geldt voor servers, zeker als die "moeilijke" software draaien die gevoelig is voor wijzigingen. Afhankelijk van de toepassing van zo'n server kan het heel verstandig zijn om slechts de meest critical patches te installeren, en met de rest te wachten tot er meer over bekend is, c.q. je deze zelf goed hebt kunnen testen.
(*) Voorbeeld: op een PC waarbij ik het zat was dat (legitieme software) steeds entries onder HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ toevoegde, heb ik daar een DENY ace voor Administrators op gezet. Werkte pirma totdat er een MS Office update was, die meende iets onder de subkey OptionalCompontents te moeten herschrijven (een waarde die er al stond); de update bleef mislukken tot ik dit gevonden had en de permissies tijdelijk had aangepast. Een ander probleem ontstond toen ik de updatefunctie van Adobe Reader in werking stelde. Deze ging braaf aan het werk, maar toen deze bijna klaar was meldde de updater kortstondig een probleem met bovenstaande registry key, en ging prompt verder met een "rollback" operatie. Toen die klaar was bleek Adobe Reader niet meer te werken. Niet verwonderlijk want de subdir "C:\Program Files\Adobe\Reader 9.0\" bleek leeg te zijn (dit is niet wat ik onder rollback versta, maar wellicht is dit wel een handige tip voor mensen die Adobe Reader definitief van hun systeem willen verbannen ;)
Adobe Reader zit straks in een sandbox. Gaat dit ook gelden voor de Flashplayers?
Je bedoelt vast:
Het gebeurt heel vaak dat na een update dingen niet werken totdat je opnieuw bent opgestart. Ik heb werk te doen en wil niet te pas en te onpas opnieuw hoeven op te starten.
Waar ik mee zou kunnen leven is als software net als Windows Update automatisch ging updaten als ik op "shutdown" klik. Dat is nou eens handig. (En natuurlijk niet als je op een laptop bent met een batterij die bijna leeg is).
Je bedoelt vast:
Ik snap hier echt iets niet ... wat is er nou fijner dat een OS/componenten zichzelf stuk maken ? .
En dat is nou juist de strekking van de laatste zin. De hele wereld is al ruim 20-25 jaar op computers aan het programmeren, en nog steeds bakt het gross van de programmeurs er niks van. We evolueren hard op software gebied, maar staan stil op kwaliteitsgebied. Erger nog, ik heb sterk het idee dat de kwaliteit de laatste jaren alleen maar achteruit gaat. Gisteren nog, mijn moeder hangt de TomTom aan haar pc om te updaten, en nu zijn al haar kaarten verdwenen en gaat de update software op haar laptop compleet over de zeik. Het enige dat werd opgehaald was de laatste update van West-Europa. Dan kijk je in de errormelding en dan zie je een dump van een xml file met een melding erbij welke nodes verkeerde informatie bevatten ... HOE KAN DAT NOU ? Dat is toch gewoon van de zotte dat TomTom niet eens fatsoenlijk een update kan doen, en als er dan wat mis is (100% perfectie is niet altijd mogelijk), er niet eens een fatsoenlijke melding staat waar iemand zonder extreme kennis wel wat van snapt. Tegenwoordig is het de strijd om zo snel mogelijk iets op de markt te brengen, en laten de kwaliteit dan maar wat minder zijn omdat de deadline gehaald moet worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.