Allgemein Top Thema — 16 Juli 2013

Oder “Fuchs du hast den Flash gestohlen”. Der Ende Oktober 2013 erscheinende Firefox 25 wird das Feature click_to_play standardmäßig aktivieren. Das hat zur Folge, dass Flash nur nach einem weiteren Klick ausgeführt wird. Viele Flash-Werbemittel werden damit nicht mehr angezeigt. →mehr

Gerade hat die Online-Marketing-Branche den “Schock” mit dem Third-Party-Tracking in Firefox 22 verdaut, so erscheint das nächste größere Problem für die Online-Marketing-Branche in Form von Firefox 25 am Horizont. Bisher heimlich, still und leise experimentierte die Mozilla-Foundation an einem Feature in Firefox mit dem Namen click_to_play. Klingt nett, aber was soll das jetzt genau bedeuten? Aber erstmal ganz der Reihe nach:

Schon seit einigen Jahren hört man immer wieder von kleinen, aber auch schwerwiegenden Sicherheitslücken im Flash-Plugin, aber auch im Silverlight- und Java-Plugin. Für Browser-Hersteller, allen voran der Mozilla-Foundation, war das ein Dorn im Auge, da sie noch so genau auf die Sicherheit des Browser achten können, wenn ein Plugin von einen Dritthersteller das ganze Sicherheits-System wieder ausgehebelt hat. In einem ersten Schritt führte Mozilla die Plugincheck-Seite ein, auf der User überprüfen konnten, ob sie aktuelle Versionen der installierten Plugins verwenden. Das aber hilft alles nichts, wenn auf der einen Seite die Browser-User nicht auf diese Seite gehen, um ihre Plugins zu überprüfen, noch auf der anderen Seite, wenn die Pluginhersteller Sicherheitslücken in Ihren Plugins nicht schnell genug schließen. Vor allem Oracle mit seinem Java-Plugin war und ist hier ein sehr negatives Beispiel. Das ging Anfang des Jahres so weit, dass sogar das BSI empfohlen hat, Java zu deinstallieren. Entsprechend wurde das Thema auch von den großen Medien wie z.B. Spiegel Online aufgenommen.

 Seit etwa zwei Jahren ist das Buzz-Word HTML5 in aller Munde, doch die wenigsten Leute wissen, was denn HTML5 ausmacht. Unter anderen wildert es gehörig im angestammten Metier von Flash. Wäre vor ein paar Jahren Seiten wie Youtube ohne Flash nicht denkbar gewesen, ist das mit HTML5 überhaupt kein Problem. Wenn ihr mir das nicht glaubt, deinstalliert mal Flash und besucht Youtube mit einem aktuellen Browser. Ihr werdet keinen Unterschied feststellen. Nur wenn Ihr mit der Maus rechts auf das Video klickt, seht ihr, dass nicht mehr das typische Flash-Kontext-Menü angezeigt wird. Wenn man sich das mal selber angeschaut wird man sehr schnell verstehen, dass die Tage von Flash in seiner heutigen Form gezählt sind.

Basierend auf diesen zwei Entwicklungen ist die Mozilla-Foundation nicht untätig geblieben. Vor ein paar Firefox-Versionen hat eben das Feature click_to_play eingeführt. Ist das Feature aktiviert, wird Flash auf den besuchten Seiten nicht mehr automatisch angezeigt. Stattdessen wird eine graue Box angzeigt, auf die man klicken muss, bevor Flash aktiviert wird und den Flash-Inhalt anzeigt. Hier mal ein Beispiel:

Firefox Flash noch nicht aktiviert

Und nach einem Klick:

 Firefox Flash aktiviert

Wenn Ihr das mal selber in Eurem aktuellen Firefox ausprobieren wollt, dann einfach folgende Schritte vornehmen:

  1. In der URL-Zeile about:config eintippen
  2. Dann den folgenden Hinweis bestätigen, dass man wirklich vorsichtig ist – das sollte man auch wirklich!
  3. Nun in der Suchzeile nach click_to_play suchen
  4. Value sollte aktuell auf false stehen. Mit einem Rechts-Click darauf und dann auf Toggle schaltet den click_to_play an (true)
  5. Dieses Tab einfach schließen und zum Beispiel auf Youtube gehen.

Mit den gleichen Schritten könnt Ihr click_to_play auch wieder einfach deaktivieren.

click_to_play aktivieren

Jetzt mag der ein oder andere sagen, dass das ja kein Problem ist, da kein User diese Schritte machen wird. Dem stimme ich zu. Aber wenn man sich nun den Bugtracker für Firefox ansieht, dann wird man feststellen, dass das Feature in einigen Monaten standardmäßig aktiviert sein wird. In Mozilla-Bugtracker 886423 ist die Rede von Firefox 25, der wohl am 29. Oktober 2013 erscheinen wird.

Oben gezeigts Beispiel zeigt eindrucksvoll, mit welchem Problem sich die Online-Marketing-Branche in Kürze rumschlagen muss: Den Kunden und Kreativ-Agenturen beizubringen, dass sie nach 10 Jahren Flash, dieses nicht mehr für Werbemittel verwenden sollten. Der ein oder andere wird mir jetzt mit dem Hinweis kommen, dass die meisten Anbieter ja eine Fallback-Möglichkeit eingebaut haben, die ein GIF anzeigt, wenn Flash nicht installiert ist. Und genau das ist das Problem. Flash ist ja installiert, es wird nur nicht ausgeführt. Somit rennen wohl die meisten Fallback-Lösungen in die Falle. Natürlich gibt es auch hierfür technische Lösungen, ich möchte aber wetten, dass die wenigsten Affiliate-Netzwerke das Problem erkannt und eine Lösung anbieten werden. Die einzigste kurzfristige Möglichkeit wird dann sein, auf Flash zu verzichten. Auf die Branche wird somit einiges an Überzeugungsarbeit zukommen.

Update 18.08.2013 11:43
Wir haben jetzt noch weitere Tests mit einem jungfräulichen Profil mit Firefox 25a1 gemacht. Aus about:config geht hervor, dass click_to_play aktiviert (true) ist.
Flash wird damit ausgeführt. Sören hat somit Recht.

Aber
Ein aktuelles Java-Plugin (1.7.0_25) wird auch ohne Klick ausgeführt, was laut Sörens Aussage ja nicht passieren sollte. Also nehmen wir an, dass wohl alle aktuellen Plugins, trotz aktiviertem click_to_play ohne Klick laufen.
Daraufhin haben wir die aktuelle Flash-Version deinstalliert und eine veraltete Flash-Version (11.2.202.233 – Freigabedatum 13.04.2012) installiert. Die Plugin-Check-Seite von Mozilla sagt dann auch ganz klar, dass dieses Plugin angreifbar ist. Auch jetzt wird Flash ohne Klick ausgeführt. Dieses Verhalten wiederspricht auch der Aussage von Sören, dass nur aktuelle Flash-Plugins ohne Klick laufen werden.

Für uns sieht es nun so aus, als würde in Firefox 25a1 noch irgendetwas nicht stimmen. Somit kann man noch nicht mit Sicherheit sagen, wie das Verhalten in der finalen Version von Firefox 25 sein wird. Sobald uns Sören Quellenangaben für seine Aussage liefert, werden wir dem noch mal genauer nachgehen.

Share

About Author

Korbinian
Korbinian

(10) Readers Comments

  1. Huiuiui…. Grammatik war wohl schon alle… ;-)

    “Klingt nett, aber was soll das jetzt genau zu bedeuten?”
    “Nur wenn ich mit der Maus rechts auf das Video klickt…”
    “…dass das ja kein Problem ist, da kein diese Schritte machen wird….”
    “…dann wird feststellen….”
    “…mit welchen Problem sich die…”

    • Korbinian

      Hallo Klaus (oder wer sich auch immer hinter einer zehnminutenmail.de-Mail-Adresse versteckt),

      danke für die Hinweise. Habe ich soeben ausgebessert. Das kommt davon, wenn man den Artikel nicht noch mal von einer Person durchlesen läßt, die Grammatik kann :)

  2. Hallo,

    der Inhalt des Artikels stimmt so nicht. Dem Bug wurde korrekt entnommen, dass Mozilla den Schater plugins.click_to_play standardmäßig in Firefox 25 aktiviert. Allerdings besitzt jedes Plugin nochmal einzelne Berechtigungen, das heißt, Click-to-Play kann – diesen aktivierten Schalter vorausgesetzt – für jedes Plugin separat aktiviert oder deaktiviert werden. Mozilla aktiviert Click-to-Play standardmäßig für alle Plugins MIT AUSNAHME von Flash, aktuelle Flash-Versionen werden standardmäßig erlaubt.

    • Korbinian

      Hallo Sören,

      danke für den Hinweis. Hast Du dazu noch ein Quellenangabe? Weder aus dem Bug-Report, noch aus dem Diff (https://bugzilla.mozilla.org/show_bug.cgi?id=886423) geht das hervor.

      Danke

      • Hallo,

        es gab Anfang des Jahres eine Ankündigung von Mozilla:
        https://blog.mozilla.org/security/2013/01/29/putting-users-in-control-of-plugins/

        “Note: The most current version of Flash will NOT have Click To Play.”

        Wenn man sich die Nightly-Version von Firefox 25 herunterlädt und dann im Plugin-Panel im Add-on Manager schaut, dann sieht man auch, dass Flash auf “Immer erlauben” gestellt ist, die anderen Plugins auf Click-to-Play.

        • Korbinian

          Hallo Sören,

          danke für die Quellenangabe. Ich gehe davon aus, dass Du Dich mit Deiner Aussage auf folgenden Satz stützt: Our plan is to enable Click to Play for all versions of all plugins except the current version of Flash.
          Dass dem aber in Firefox 25a1 nicht so ist, kann man in unserem Kommentar weiter unten nachlesen.

          Weiter wird in dem Blog-Post von Mozilla aufegführt: Click to Play old versions of Flash (versions < =10.2.*) and slowly add more recent insecure Flash versions to the Click to Play list.. Dass dem in Firefox 25a1 nicht so ist, haben wir auch bewiesen.

          Der Blog-Post von Mozilla hilft also leider auch nicht weiter, um Licht ins Dunkel zu bekommen.

    • Korbinian

      Wir haben jetzt noch weitere Tests mit einem jungfräulichen Profil mit Firefox 25a1 gemacht. Aus about:config geht hervor, dass click_to_play aktiviert (true) ist.
      Flash wird damit ausgeführt. Sören hat somit Recht.

      Aber
      Ein aktuelles Java-Plugin (1.7.0_25) wird auch ohne Klick ausgeführt, was laut Sörens Aussage ja nicht passieren sollte. Also nehmen wir an, dass wohl alle aktuellen Plugins, trotz aktiviertem click_to_play ohne Klick laufen.
      Daraufhin haben wir die aktuelle Flash-Version deinstalliert und eine veraltete Flash-Version (11.2.202.233 – Freigabedatum 13.04.2012) installiert. Die Plugin-Check-Seite von Mozilla sagt dann auch ganz klar, dass dieses Plugin angreifbar ist. Auch jetzt wird Flash ohne Klick ausgeführt. Dieses Verhalten wiederspricht auch der Aussage von Sören, dass nur aktuelle Flash-Plugins ohne Klick laufen werden.

      Für uns sieht es nun so aus, als würde in Firefox 25a1 noch irgendetwas nicht stimmen. Somit kann man noch nicht mit Sicherheit sagen, wie das Verhalten in der finalen Version von Firefox 25 sein wird. Sobald uns Sören Quellenangaben für seine Aussage liefert, werden wir dem noch mal genauer nachgehen.

      • Hallo,

        ich habs eben auch nochmal mit einem frischen Profil überprüft. Alle Plugins sind auf “Immer Erlauben” gestellt (lässt sich über den Add-on Manager überprüfen), d.h. die verlinkte Ankündigung greift _noch_ nicht und der Bug #886423 hat lediglich den Schalter plugins.click_to_play umgekippt, welcher Voraussetzung dafür ist, einzelne Plugins auf Click-to-Play zu schalten. So müsste es passen. ;)

        • Korbinian

          Hallo Sören,

          Wir konnten das nun genau so nachvollziehen. D.h. für die Online-Marketing-Branche gibt es erst mal Entwarnung. Wir sind mal gespannt, wie die Black- bzw Whitelist dann in einer späteren Version aussehen wird.

  3. hmm

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>