Onveilige browser plug-ins

Browser plug-ins vormen een grote kwetsbaarheid voor de internet-beveiliging van uw computer. Java is een gapend gat in de beveiliging zo is alom bekend, maar ook Flash heeft onlangs een stroom van zero-day aanvallen gezien. Er is zelfs sprake van een toename van cyber-aanvallen tegen Silverlight.

Tegenwoordig zijn deze plug-ins voor Internet Explorer, Firefox en andere browsers minder noodzakelijk. Bijvoorbeeld YouTube heeft onlangs Flash gedumpt, en Netflix heeft Silverlight overbodig gemaakt. Dankzij ingebouwde code is uw browser vaak prima in staat om (video)content zelfstandig weer te geven. Vooropgesteld dat de website in kwestie daar klaar voor is.
 

Overbodige plug-ins

Zoals gezegd zijn webbrowsers steeds meer in staat om functies uit te voeren waarvoor ooit plug-ins nodig waren. De verschillende mogelijkheden voor video-afspelen, video-chatten, animaties, in-browser games, en nog veel meer zijn vaak al ingebouwd in moderne webbrowsers. Het is aan de makers van websites om simpelweg over te schakelen naar deze nieuwe in-browser functies.

Plug-ins zijn vaak onveilig

De meeste plug-ins zijn echt oud. Firefox gebruikt nog steeds het NPAPI plug-in systeem gemaakt voor Netscape Navigator (naar IT begrippen is deze een ‘fossiel’). Internet Explorer maakt gebruik van ActiveX, dat vanaf het begin bekend staat om zijn beveiligingsproblemen. Chrome gebruikt PPAPI, wat is ontworpen om ook sandboxing te bieden (een proces wordt daarbij virtueel afgescheiden van het eigenlijke besturingssysteem) - maar ook dat is niet ideaal zo blijkt. Als aanvallers een gat vinden in je browser plug-in, kunnen ze dat gat gebruiken om direct toegang te krijgen tot het systeem. Ze zijn niet sandboxed en een hacker kan dus via de browser volledige toegang verkrijgen tot jouw computer - behalve op Chrome, maar let op (!) zelfs zo’n sandbox zal je niet tegen alle inbraakpogingen beschermen.

Wat doet een browser plug-in

Er zijn veel verschillende extensies en add-ons voor browsers wat een goede standaard beveiliging extra bemoeilijkt. Een uitbreiding of add-on voegt een nieuwe functie aan je browser toe. Een plug-in is dus een programma dat vereist kan worden door een website om bepaalde content te kunnen laten lezen door je browser. Zo was Flash tot voor kort vereist om video te kunnen kijken op YouTube. Het stamt uit een tijd dat ontwikkelteams van browsers de ontwikkelingen niet konden bijhouden; denk aan de tijd van Internet Explorer 6 in Windows XP. De tijd waarin Internet Explorer zijn goede reputatie grotendeels verspeelde. Daarom is het hoog tijd dat deze plug-ins verdwijnen.

Veel voorkomende plug-ins

Silverlight - De meeste mensen hebben de Silverlight plug-in van Microsoft geïnstalleerd voor Netflix. Als je één van hen bent, is er goed nieuws want in moderne browsers, zal Netflix gebruik maken van HTML5 in plaats van Silverlight. Dus, als je nog steeds Silverlight geïnstalleerd hebt voor Netflix en je hebt een recente Windows 8 computer dan kun je het waarschijnlijk net zo goed verwijderen. Microsoft wil graag van Silverlight af, dus je doet ze er een plezier mee om Silverlight te dumpen.

Java - Over Java kunnen we duidelijk zijn: schakel de browser-plugin uit of verwijder deze volledig. Java-applets voor consumenten zijn bijna allemaal verdwenen, tenzij deze gebruikt worden als exploit (voor hackpogingen dus). Het onveilige aan deze situatie is dat de Java browser plug-in vaak standaard nog steeds ingeschakeld is. Zelfs als je de Java runtime op jouw computer nodig bent om bijvoorbeeld Minecraft te spelen, hoef je daarom de browser plug-in niet in te schakelen. Ga naar het Java Control Panel en schakel de Java browser plug-in uit als je Java dus niet kunt verwijderen.
UPDATE: Ook voor Minecraft is Java vanaf heden niet langer noodzakelijk blijkt uit dit artikel van howtogeek. Als je Minecraft zonder Java speelt draait het spel ook nog eens veel vlotter !

Flash - Dit is een plug-in die je (voorlopig) misschien nog wilt houden. Hoewel het minder nodig is (je kunt nu elke video op YouTube bekijken zonder Flash) omdat veel video websites nu overschakelen op non-Flash zijn er populaire websites zoals Facebook die het  nog immer vereisen voor het afspelen van online video. Om dit probleem te omzeilen, raden wij click-to-play aan, in plaats van Flash nu compleet te verwijderen.

Realplayer - Deze plug-in zal waarschijnlijk nooit helemaal verdwijnen van het web. Zelfs nu, als je diep genoeg graaft, kun je waarschijnlijk webpagina’s vinden die vragen om RealPlayer te installeren om naar oude video's te kijken. Maar op een gegeven moment hebben we het allemaal verwijderd, want RealPlayer is niet meer van deze tijd. Plug-ins zoals Java en Silverlight hebben dat punt al bereikt en ook Flash zal er binnenkort aan moeten geloven.

Google Plugins - Google Talk (plug-in voor audio- en video-oproepen) is niet meer nodig, noch is de Google Earth plugin noodzakelijk om gedetailleerde satellietbeelden te tonen op Google Maps.

Skype - Microsoft werkt aan een nieuwe versie van Skype voor het web die de Skype browser plug-in geheel overbodig zal maken.

Overige: Ook plug-ins zoals QuickTime Player, Windows Media Player en VLC webplug zijn eigenlijk niet langer nodig op het internet.

Andere plug-ins worden ook overbodig zodra ze zijn opgenomen in de code van de browser.

Check jouw browser plug-ins

Om te zien welke plug-ins geïnstalleerd zijn, kun je de lijst van plug-ins opvragen in de door jouw gebruikte web browser. De screenshots bij dit artikel bieden daarbij enige ondersteuning.

Chrome: open Chrome en typ chrome: //extensions in de adresbalk en druk op Enter waarna de extensies (plug-ins) gelijk worden weergegeven.

Firefox: open Firefox en typ about:addons in de adresbalk en druk op Enter en daarna op menu Plug-ins klikken.

Internet Explorer: klik op het tandwiel-icoon op de werkbalk rechtsboven in het venster en selecteer Invoegtoepassingen. Het beheer van plug-ins in Internet Explorer is minder overzichtelijk: je kunt deze Microsoft support-pagina raadplegen voor meer informatie.

Safari: klik op het menu Safari, selecteer Voorkeuren en klik op het pictogram Beveiliging, klik daarna op de knop Website-instellingen aan de rechterkant van Internet plug-ins.

Opera: open Opera en typ opera://plugins in uw adresbalk en druk op Enter.

Configuratiescherm: als je bepaalde plug-ins niet op de beschreven wijze kunt vinden, kun je ze vaak verwijderen via Software of Programma's en onderdelen in het Configuratiescherm.

Verwijderen of uitschakelen ?

Als je zeker wilt weten dat je de plug-in niet nodig bent, kun je de plug-in eerst uitschakelen voordat je deze definitief verwijdert. Vrijwel alle browsers bieden de mogelijkheid om een plug-in (tijdelijk) uit te schakelen. Laat het voor een tijdje uitgeschakeld om vast te stellen of het een probleem oplevert op favoriete websites die je bezoekt. Als je merkt dat het niet van invloed is op jouw website bezoek, kun je de plug-in vervolgens verwijderen via het browser plug-in beheer of het configuratiescherm. Merk daarbij op dat het uitschakelen van een plug-in deze deactiveert in die specifieke browser. Bijvoorbeeld, als je Flash in Firefox uitschakelt, is deze mogelijk nog steeds ingeschakeld in Chrome en Internet Explorer. Dat kun je zelf controleren.
 

TIP: Firefox online plug-in check

Ervan uitgaande dat je niet elke plug-in verwijdert (wat je waarschijnlijk ook niet zult doen) zou je de Firefox plug-in-check eens moeten bezoeken. Laat je niet misleiden door de naam want deze online tool werkt met meerdere webbrowsers. Overigens hadden wij geen succes met Internet Explorer 11. De website geeft een rapport of er nog oude kwetsbare plug-ins actief zijn in jouw browser en of het raadzaam is deze een update te geven dan wel deze te verwijderen.

bron: howtogeek.com

Reactie toevoegen

CAPTCHA
Deze vraag is om te controleren dat u een mens bent, om geautomatiseerde invoer (spam) te voorkomen.