Click-to-play beschermt Firefox 14 tegen webaanvallen
Mozilla werkt aan een nieuwe functie voor het aanstaande Firefox 14 die zijn gebruikers moet beschermen tegen valse, besmettende video’s en advertenties in de browser.
Ontwikkelaar Jared Wein van de Mozilla-stichting demonstreerde de nieuwe functie vorige maand op zijn blog. Eenmaal ingeschakeld blokkeert de functie het automatische laden van browsersplugins als Java en Adobe Flash, en moet de gebruiker zelf beslissen of hij deze pagina-elementen wil laden.
Geen autoplay in browser
Met de optie wil Mozilla vooral een spaak in het wiel steken van malwareschrijvers, die kwetsbaarheden in deze welbekende plug-ins gebruiken om surfers te kunnen besmetten. Als een website is uitgerust met besmette paginadelen, kan een argeloze bezoeker al worden geïnfecteerd door de verkeerde pagina te bezoeken.
[related_article id=”161920″]
Maar click-to-play zal als bonus ook het geheugenverbruik kunnen terugdringen, omdat Firefox alleen die elementen laadt waar de gebruiker toestemming voor heeft gegeven.
Click-to-play doet vooral denken aan bestaande Firefox-extensies als NoScript, die een gebruiker laat bepalen welke vertrouwde websites browserplug-ins mogen laden. Er is ook nog flink wat werk aan; als een gebruiker nu klikt op een specifiek element dat hij wil laden, zullen ook alle andere elementen op dezelfde pagina beginnen met spelen.
Vertragen, niet voorkomen
ZDNet-beveiligingsspecialist Dancho Danchev denkt dat click-to-play infectie hoogstens zal vertragen, niet voorkomen. Hij zegt dat uitgekiende malwareschrijvers surfers toch wel weten te lokken een tweede keer te klikken, om zo een schokkend filmpje of verontrustende PDF te kunnen bekijken, wat in de beveiligingswereld bekend staat als social engineering.
Chester Wisniewski, een onderzoeker van Sophos, vindt juist dat elke extra bescherming een goede zaak is in de strijd tegen cybercrminaliteit.
Baas in eigen browser
“Dit (click-to-play) zal aanvallers dwingen om meer gebruik te maken van social engineering, maar is dat juist geen goede zaak? Gebruikers bewust maken van de content die ze draaien en ze een kans geven om een beslissing te maken? Ik weet zeker dat veel gebruikers de verkeerde keuze zullen maken, maar ik zou wel graag de gelegenheid hebben de juiste beslissing te nemen in plaats van meteen besmet te worden”, aldus Wisniewski.
De definitieve versie van Firefox 14, die naast click-to-play ook SPDY aan boord zal hebben, zal in juli 2012 beschikbaar zijn.
Mozilla werkt aan een nieuwe functie voor het aanstaande Firefox 14 die zijn gebruikers moet beschermen tegen valse, besmettende video’s en advertenties in de browser.
Ontwikkelaar Jared Wein van de Mozilla-stichting demonstreerde de nieuwe functie vorige maand op zijn blog. Eenmaal ingeschakeld blokkeert de functie het automatische laden van browsersplugins als Java en Adobe Flash, en moet de gebruiker zelf beslissen of hij deze pagina-elementen wil laden.
Geen autoplay in browser
Met de optie wil Mozilla vooral een spaak in het wiel steken van malwareschrijvers, die kwetsbaarheden in deze welbekende plug-ins gebruiken om surfers te kunnen besmetten. Als een website is uitgerust met besmette paginadelen, kan een argeloze bezoeker al worden geïnfecteerd door de verkeerde pagina te bezoeken.
[related_article id=”161920″]
Maar click-to-play zal als bonus ook het geheugenverbruik kunnen terugdringen, omdat Firefox alleen die elementen laadt waar de gebruiker toestemming voor heeft gegeven.
Click-to-play doet vooral denken aan bestaande Firefox-extensies als NoScript, die een gebruiker laat bepalen welke vertrouwde websites browserplug-ins mogen laden. Er is ook nog flink wat werk aan; als een gebruiker nu klikt op een specifiek element dat hij wil laden, zullen ook alle andere elementen op dezelfde pagina beginnen met spelen.
Vertragen, niet voorkomen
ZDNet-beveiligingsspecialist Dancho Danchev denkt dat click-to-play infectie hoogstens zal vertragen, niet voorkomen. Hij zegt dat uitgekiende malwareschrijvers surfers toch wel weten te lokken een tweede keer te klikken, om zo een schokkend filmpje of verontrustende PDF te kunnen bekijken, wat in de beveiligingswereld bekend staat als social engineering.
Chester Wisniewski, een onderzoeker van Sophos, vindt juist dat elke extra bescherming een goede zaak is in de strijd tegen cybercrminaliteit.
Baas in eigen browser
“Dit (click-to-play) zal aanvallers dwingen om meer gebruik te maken van social engineering, maar is dat juist geen goede zaak? Gebruikers bewust maken van de content die ze draaien en ze een kans geven om een beslissing te maken? Ik weet zeker dat veel gebruikers de verkeerde keuze zullen maken, maar ik zou wel graag de gelegenheid hebben de juiste beslissing te nemen in plaats van meteen besmet te worden”, aldus Wisniewski.
De definitieve versie van Firefox 14, die naast click-to-play ook SPDY aan boord zal hebben, zal in juli 2012 beschikbaar zijn.