"Html5 wordt niet het einde van besmette advertenties"
Google stopt vanaf 1 januari volgend jaar met het tonen van Flash-advertenties en zal alleen nog maar html5-advertenties tonen, toch zal de overstap naar html5 niet het definitieve einde van besmette advertenties betekenen. Dat beweert beveiligingsbedrijf GeoEdge.
Steeds meer partijen op internet kiezen ervoor om Flash door html5 te vervangen. Mede vanwege het grote aantal aanvallen op gebruikers van Flash Player. Html5 wordt daarnaast door alle moderne browsers ondersteund en vereist geen aanvullende browserplug-ins. Dit zou zowel de veiligheid, prestaties als stabiliteit van browsers moeten verbeteren. Volgens GeoEdge zijn er ook zonder Flash allerlei manieren om kwaadaardige code aan een html5-advertentie toe te voegen. Zo vormt JavaScript een belangrijk onderdeel van besmette advertenties. JavaScript is echter ook de basis voor html5.
"Cybercriminelen zullen besmette advertenties blijven gebruiken omdat de winst groot is en het risico klein", zegt Sagi Elgavi van GeoEdge. Waar het bedrijf echter aan voorbij gaat is dat de besmette advertenties nu vooral gebruik van kwetsbaarheden in Flash Player maken. Als Flash Player straks op steeds minder websites is vereist en steeds minder mensen het hebben geïnstalleerd, zullen cybercriminelen kwetsbaarheden in de browsers zelf moeten vinden om gebruikers aan te kunnen vallen.
Iets wat vooralsnog weinig voorkomt. Zo zijn er nog geen drive-by download-aanvallen op Google Chrome in het wild waargenomen en bevatten populaire exploitkits ook geen aanvallen voor Firefox, Safari en Edge. Mede door de snelheid en de automatische updatefunctie waarmee partijen als Google en Mozilla updaten is het aantal gebruikers met een openstaand browserlek een stuk kleiner dan bij bepaalde browserplug-ins het geval is. Internet Explorer is nog altijd wel een doelwit van exploitkits, net als Microsoft Silverlight. Ook deze browserplug-in wordt echter uitgefaseerd.
Al diegenen die roepen dat je het panacee hebt uitgevonden door HTML5 te gebruiken, slaan de plank volledig mis.
Weliswaar wordt hierdoor het internet niet veiliger, maar wel de afhandeling aan de client kant.
Mijn 2 centen.
Al diegenen die roepen dat je het panacee hebt uitgevonden door HTML5 te gebruiken, slaan de plank volledig mis.[/quote]
Volgens mij is de panacee het zoveel mogelijk beperken van de mogelijkheden (dus geen Flash meer maar nog slechts
HTML5) om dan vervolgens met een effectieve adblocker alleen daar nog op te hoeven focussen om het probleem op
te lossen.
Het probleem is het advertentie model met externe adhosters die niet gerelateerd zijn aan de site en die advertenties
toelaten die ze "niet kunnen controleren".
Deze moeten worden vervangen door adhosters die dat wel kunnen.
Zolang dat niet gebeurd is block ik ze gewoon. Dan is wat mij betreft het probleem opgelost, en als dat naar mening
van de site exploitanten anders zit dan moeten ZIJ het probleem aanpakken van de rotte appelen waar de adhoster
business kennelijk voornamelijk uit bestaat (en de brakke software die ze gebruiken).
Deze moeten worden vervangen door adhosters die dat wel kunnen.
Jammer genoeg is het malwarerisico lang niet het enige probleem. Tracking vormt een ernstig privacyprobleem, niet alleen in de zin dat er databases met gedetailleerde persoonsgegevens bij onduidelijke partijen staan en tussen die partijen worden uitgewisseld, maar net zo goed het onvermijdelijke effect ervan dat iedereen die op je beeldscherm mee kan kijken via advertenties, YouTube-suggesties en dergelijke een indruk van je voorkeuren kan krijgen, soms zelfs een heel privacygevoelige voorkeur. Advertenties moeten passend gemaakt worden voor de pagina waarop ze getoond worden, niet voor de bezoeker die ze bekijkt.
De reden dat ik jaren geleden advertenties ben gaan blokkeren had nog niets met 'big data' of met malware te maken, maar met het feit dat ik teveel last kreeg van webpagina's met slechts een paar alinea's relevante tekst die op mijn bescheiden computertje soms wel twee minuten nodig hadden om te laden in plaats van twee seconden, en op al het aandachttrekkende geflikker dat het me nagenoeg onmogelijk maakte om te lezen waar ik voor kwam. Ik heb trouwens bij voetbalwedstrijden hetzelfde probleem tegenwoordig, de voortdurend verspringende en bewegende advertenties rondom het veld leiden mijn aandacht veel te sterk af van het spel zelf. Advertentieinkomsten zijn prima, maar als de advertenties de webpagina, de voetbalwedstrijd, de film op tv of wat dan ook gaan overheersen schieten ze hun doel voorbij, dan ondermijnen adverteerders de reden dat mensen hun advertenties überhaupt te zien krijgen. Op het web gaan ze al heel lang veel te ver daarmee, en daarmee bewijzen ze dat ze geen maat weten te houden in het elkaar overtreffen in hun zucht naar aandacht. De afnemers van die advertenties hebben kennelijk zo weinig respect voor wat ze zelf te bieden hebben dat ze dat accepteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.