Firefox 52: hogyan használjuk tovább a pluginokat

HUP cikkturkáló

A Firefox 52-es verziója a Mozilla Firefoxnak az első olyan böngésző verziója ami már nem támogatja a NPAPI pluginokat.

Ez egy jó lépés mert az NPAPI már borzasztóan elavult technológia (több mint 20 éves, sőt) és ami bónuszokat a Flash, Silverlight és a Java kínáltak azt már rég ellensúlyozták a bennük rejlő biztonsági hibák. Az Adobe Flash-t az jelenleg továbbra is használható. Minden más bővítmények pl: Silverlight, Java és a többiek ezáltal a nem támogatott listára kerültek.

Ezzel a Firefox lett az utolsó nagy asztali böngésző aki befejezi az NPAPI pluginok támogatását. Google ezt a lépést a Chrome 45-ös verziójával már 2015. szeptember elsején megtette. Viszont még vannak olyan weboldalak ahol még mindig fontos szerepet játszanak a Java plug-inek. Addig is amíg átirják ezeket addig is bizonyos oldalakat azért jó lenne használni.:D

Ha szeretnénk hogy a Java, Silverlight és a többi NPAPI bővítmény a Firefox 52-es verziójával újra használható legyen akkor arra jelenleg van egy workaround. Ezt az about:config beállítások használatával lehet kieszközölni. Létre kell hozni egy új Boolean string-et "plugin.load_flash_only" néven és az értékét false-re kell állítsa. Ezután újra kell indítani a böngészőt. Viszont ezzel a megoldással csak csatát nyerünk háborút azt nem mert az 53-as verzióban ez a kiskapu is meg fog szűnni. A hosszabb távú megoldáshoz át kell állni a Firefox ESR (Extended Support Release) verzióra mert abban elvileg a jövő évig támogatott lesz.

( STP | 2017. 03. 17., p – 15:12 )

„Ezzel a Firefox lett az utolsó nagy asztali böngésző aki befejezi az NPAPI pluginok támogatását. Google ezt a lépést a Chrome 45-ös verziójával már 2015. szeptember elsején megtette. Viszont még vannak olyan weboldalak ahol még mindig fontos szerepet játszanak a Java plug-inek.”
Ennél sokkal fájóbb, hogy egy zsák hálózati eszközben (Ethernet switch, FC switch, ...) sok funkcióhoz Java Applet indul(na) el.
Soha a büdös életben nem fognak rajtuk firmware-t frissíteni.
Így ezen funkciók használatához marad a FF 51.0.1 verzió külön könyvtárba telepítve/kibontva, és az Advanced menüpont alatt beállítva, hogy ne frissítsen automatikusan.

Nem sokkal egyszerűbb, de azért a tar egyszerűbb, az biztos. Na meg valamivel gyorsabb elindítani egy binárist, mint egy konténert (úgy fél másodperccel). Ezzel szemben a Docker a hosszabb távú működtetést biztosítja, mert nem kell attól tartanod, hogy külön kell valami régi .so-t beszerezned hozzá. És a biztonsághoz is hozzáad egy picit, ami elavult szoftver esetén azért nem egy utolsó szempont. Bár ez utóbbit a FireJail is hozzá tudja adni a tar-os megoldáshoz.

( NevemTeve | 2017. 03. 17., p – 16:44 )

Sajnálom, de a változás a változás kedvéért az ámítástechnika kulcsgondolata, kikerülhetetlen alapelve. Persze szigorúan a fejlődés nevében.

Valahogy ki kell kényszeríteni, mert a webkókányolókat másképp nem lehet erre rászedni, csak ha már senki sem tudja megnézni az oldalakat, s a megrendelő elkezdi noszogatni a webkókányolót. Amúgy az Adobe Flash kihalását várom már nagyon. mondom ezt úgy, hogy a társasház weboldala egy telibe flash-es valami. :(

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A baj viszont az, hogy a korszerűtlen eszközök nehezen pusztulnak ki, mert a weblapok megrendelőinek semmi érdeke sem fűződik ahhoz, hogy költsön erre, a webkókányoló meg ahhoz ért, kényelmes. Igaz, jól fog járni, ha muszáj lesz változtatni, mert lesz munka rendesen.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

^huputhink

legutóbb mikor a világ hupujai kitalálták valamiről (flash) hogy régi, lassú és insecure, az következett hogy fogták az új, lassú és insecure javascriptet, és hosszú és kitartó munkájuknak köszönhetően 65-féle implementációba forkolták, valamint méglassabb és méginsecurebb lett

és megszűnt a "netezésre jó lesz" gép definíciója

Az kellemetlen, hogy a régi, lassú, insecure flash helyett sikerült valami új, továbbra is lassú és insecure valamit gányolni. Viszont az Adobe cucca zárt, ez utóbbi új - js, html5, css3 - esetében több esély van arra, hogy megjavul. De, ha nem, kidobják ezt is. Útkeresés.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Most itthon is kipróbáltam windows 10-en, IE, Firefox, Chrome-ban a youtube-ot. Mindegyik be tudott váltani full screen-be. Ugyanúgy, ahogy a céges
windows 7-es gépemen is.

Tehát ha NÁLAD nem sikerül full screen-be váltani, akkor esetleg nézd már meg, hogy nincs-e NÁLAD valami elállítva.

Egyébként meg ritka nagy gyökérség valakit hazugnak nevezni.

én ezt csináltam, mivel siettem :
https://www.java.com/en/download/help/firefox_java.xml

"
Firefox 52 ESR 32-bit release

Mozilla offers an Extended Support Release (ESR) version of Firefox specifically for use by organizations who need extended support for mass deployments. Only Mozilla Firefox 52 ESR 32-bit release will continue offering support for the standards-based plugin support technology required to launch Java Applets. To see if you are using an ESR release, check the Firefox menu item (Help -> About) and looking for the "ESR" identifier.

Mozilla maintains Firefox ESR Releases for approximately one year. Developers and users still relying on the Java plugin technology in the 32-bit Mozilla Firefox web browser should consider migrating to a different solution.
"

A Flash-t az Apple es a Google nyirta ki. Ugyan volt egy kis latszat egyuttmukodes az Apple es az Adobe kozt, ha jol emlekszem, de ott azert mar lefutott jatszma volt, hogy bongeszoben iOS-en nem lesz Flash. Na neeem, nem azert, mert lassu lett volna, vagy mert biztonsagi hibak vannak a Playerben. Hanem azert, mert az ingyenesen hozzaferheto Flash jatekok az Apple-nek az eppen felfuttatando App Store eladasoknak nem igazan kedveztek (itt utana kene neznem az idorendnek, hiszen az elso iPhone-on nem volt meg App Store...) volna.

A Google azert nyir(at)ta ki a Flash-t, mert: tadaaaaa: nem tud benne keresni. Voltak ra probalkozasok, hogy a scraper valahogy belelasson a Flash tartalomba is, de nem voltak azok sem az igaziak.

Vajon miert tolja a Google pl. a https dolgot annyira? Hirtelen annyira surgeto lett a userek biztonsaga, hogy elore kell sorolni azokat a talalatokat, amelyek titkositjak a kapcsolatot a kliens es a szerver kozt, az ISP szamara is lathatatlanul? Biztos hogy tomeges MitM tamadasoktol tartanak? Biztos, hogy a user adatait tartja a Google a legjobban orzendonek? Annyira, hogy a sokat emlegetett "you can't break the internet"-et is semmibe veszi?

Vagy esetleg a sajat adatfolyamat vedi ennyire?

Eszre kell venni, hogy a mezesmazos "jajj, a user a mindenunk" kommunikacio nem valos, mint minden mogott, itt is uzleti erdekek allnak.

"Na neeem, nem azert, mert lassu lett volna, vagy mert biztonsagi hibak vannak a Playerben. Hanem azert, mert az ingyenesen hozzaferheto Flash jatekok az Apple-nek az eppen felfuttatando App Store eladasoknak nem igazan kedveztek"

Ez bőven lehet, hogy így van, de láttuk a flash-t futni Androidon, az akkori telefonokon, és se kényelmes nem volt használni, sem az erőforrásokat tekintve nem volt optimális.

( cherockee v | 2017. 03. 17., p – 18:07 )

ESR-t raktam a non-ESR helyére ügyfél gépén, nem ment igy se, frász tudja miért, azóta már van rajta portable firefox 51 (van archivuma github-on), jportable a java miatt, működik. Nagyjából 2 hét múlva kerül kiváltásra több helyen is, örültem volna, ha még pár hetet várnak :).

( Luckye | 2017. 03. 18., szo – 14:04 )

Szerintem enyhén el lett kicsit sietve ez a lépés.
Munkahelyemen több gépen is vissza kellett állnom 51.0.1-re és tiltani a frissítést, mert:
- Magyarorszag.hu-n az elektronikus bevallás feltöltése JAVA, tehát a könyvelés marad régi
- Több banki oldal is JAVA: CIB, Unicredit, tehát a könyvelés, illetve néhány kollega is maradt régi
- Proxmox virtuális szerver console felületei is JAVA, tehát az informatika is maradt régi.

És ezek csak a fontosabbak.

Szerintem sokkal több sebezhetőséget indukálnak ezzel a lépéssel, mert akinek szüksége van a JAVA-ra, az nem fog frissíteni, így az 51.0.1-ben levő hibák is maradni fognak.

Gábor

"Munkahelyemen több gépen is vissza kellett állnom 51.0.1-re és tiltani a frissítést, mert:"

Kérdés, hogy azok után, hogy a Chrome már rég meglépte ezt, miért nem zárkóztak fel ezek. Volt idejük. Egy intranetes megoldásnál még érthető, de magyarorszag.hu, bank oldalak, ők ignorálták a chrome-ot?!

magyarorszag.hu dokumentum feltöltés már nem Java-s.

Azóta van kint ez a figyelmeztetés:
Figyelem! Az Általános dokumentumfeltöltő segítségével elküldött dokumentumok nem kerülnek automatikusan átmozgatásra az ÁNYK program eKuldes / KR / kuldendo könyvtárából az eKuldes / KR / elkuldott mappájába. Ennek következtében a nyomtatványok állapota sem módosul automatikusan az ÁNYK-ban „Elküldött” státuszúra. Sikeres feltöltést követően célszerű az elküldött állományokat átmozgatni az elkuldott mappába.

Azt néztem, hogy a Proxmox-hoz van valami spice nevű cucc java applet helyett, azt esetleg nézted?

"SPICE is now fully integrated as the console viewer however the original Java console is still the default. SPICE supports multiple monitors and all recent guest operating systems."

https://pve.proxmox.com/wiki/SPICE

Az unicredit netbankjában 1 byte flash sincs már (a lakosságiban legalábbis), tökéletesen működik friss Chrome-ban és FF-ben is. A CIB-et pont a csodás netbankjuk miatt hagytam ott, bár egyébként időközben csináltak egy egész jó mobilbank appot, amivel ki lehet kerülni az asztali netbankkal történő szenvedést.

( neuron | 2017. 03. 18., szo – 15:03 )

"Pale Moon supports and will continue to support the following features/technologies:
...
NPAPI plug-ins
..."

https://www.palemoon.org/roadmap.shtml

----
"Kb. egy hónapja elkezdtem írni egy Coelho-emulátort, ami kattintásra generál random Coelho-kompatibilis tartalmat."

( PDA_FAN | 2017. 03. 18., szo – 16:21 )

A leírt eljárás sajnos nem segít feltámasztani a Pipelight plugint. Sajna az olyan kretén cégek, mint az UPC a Horizon Go-val továbbra is Silverlight alapon nyomják.

( cadmagician | 2017. 03. 19., v – 18:05 )

Akkor vlc sem lesz firefoxban? Pitsaba
------------------------
Jézus reset téged

( cadmagician | 2017. 03. 19., v – 18:06 )

Akkor vlc sem lesz firefoxban? Pitsaba
------------------------
Jézus reset téged

( KGer | 2017. 03. 19., v – 19:33 )

Azért a javas specifikációk általában elég jól ki vannak találva.
Sok helyen használják, ott van mögötte jó pár nagy cég.

Mi van az appletekben ami annyira veszélyes és nem javítható?
Implementációs bugok vagy design hibák?
Miért nem mentik meg?

Nem a java, a böngésző oldaláról történik a pluginek kizárása, egyszerűen azért, mert security risk-et jelentenek. Maga az NPAPI sem
volt igazán jó, és lényegében mindent meg lehet oldani már weben, amit eddig applet-tel oldottak meg. És lássuk meg, az applettel dolgozás
mindig is gányolás volt, én legalábbis java fejlesztőként is utáltam, mert csak a gond volt vele.

Kiegészítés: nem csak a JAVA nem fog menni, hanem a Silverlight sem, sem semmi más, NPAPI-t használó alkalmazás (unity, stb.)

Amit sz332 mondott.

Ne felejtsük el azt sem, hogy mobilon nincsenek java appletek nem véletlenül. Próbálkoztak annó a flash-sel, lassú volt, zabálta az akksit, nem is igazán működött jól kis képernyőn. Ha valami felesleges bloat, akkor egy java és flash futtatókörnyezet a böngészőbe csomagolva.

Inkább az a kérdés, hogy miért mentenék meg? Azt leszámítva, hogy pár legacy app java appletre épül, milyen előnnyel jár egy applet futtatása, ami nem oldható meg manapság javascriptben?

szerintem van létjogsultsága az appletnak, vagy ezeknek rich application-knek, javascriptben komolyabb programot összerakni borzalmas, van is egy limitációja
(valszeg vhol tévedek ha így hagyják elsüllyedni)

Még mindig nem értem:
- firefox oldalon nem tudják megoldani a security-t?
- vagy java oldalon nem tudják megoldani a security-t?
- vagy eleve nem is lehetséges?
- vagy vmi mással kiváltják? csak azt nem mondják nekem hogy javascripttel

A probléma egyébként az, hogy ezek gyakorlatilag külön processzek, amikből folyamatosan kitörtek a hackerek. Innentől
kezdve annyira nem vicces, hogy bejön egy 1px x 1xp-es applet/flash/etc., elindul, és szépen azt csinálnak a gépeden,
amit akarnak, és a böngészőnek nagyjából semmilyen kontrollja nem volt e felett.

Azért annyi kontrollja volt a böngészőnek, hogy elindítja-e vagy nem.
Az persze már más kérdés hogy a user-t mennyire könnyű rávenni arra, hogy itt vagy ott azt kattintsa amit a támadó akar, de ennyi erővel a user-t a gép elől kellene inkább felállítani, ha már "edukálni" nem sikerült.

Szerintem meg pusztuljon a férgese, legyen fertőzött a gépe annak, aki így áll hozzá, legyen adatvesztése, különben sohasem szabadulunk meg káros, elavult technológiáktól. Valahol el kell kezdeni. A böngészők jó lehetőség, mert alapvető eszközök, így ezen keresztül lehet nyomást gyakorolni a weblapok megrendelőire, készítőire.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A mostani is béna, de talán a legjobb. Az alkalmazásokban kihalasztani a technológiát, így egy idő után vállalhatatlanul kényelmetlen lesz sokaknak a régi alkalmazás, böngésző használata, a régi technológiákat használó oldalak látogatottsága megcsappan, s ez kikényszeríti azok korszerűsítését.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( Dwokfur v | 2017. 03. 19., v – 22:10 )

Engem nem is a csicsa-micsa érdekel, hanem mondjuk hogy ki hogy oldja meg a "szokásos" java plugin-os KVM megoldások elérését. Egyre összetettebb hack kell hozzá, hogy menjen. És nem feltétlenül szeretnék alaplapot cserélni emiatt, vagy gépet upgrade-elni (ha tökéletesen megfelel még évekig, ami most van), vagy jó drágán upgradelni egy KVM megoldást, mert az újabb verzió már a marketing szerint támogatja a java-free* elérést.
*windows alatt van natív kliens, a többire meg továbbra is java kliens kell, csak nem a böngésző plugin-t indít, hanem önálló alkalmazásként fut.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Tehát: vagy használsz windows-t, vagy java önálló alkalmazást, vagy updatelsz újabb verzióra, vagy használsz a managelésre egy régi firefox-ot, esetleg IE-t (lol) vagy ha open source KVM megoldást használsz,
akkor megvárod, amíg lesz backportolt web alapú képernyő elérés, esetleg írsz egyet, vagy fizetsz valakinek, aki megírja.

Köszönöm szépen a kimerítő választ, jól kidolgozott tétel! Hiányolom a konkrétumokat, de az eredeti post-om sem tartalmazott... Egyébként Raritan és Lantronix eszköz. OS: Win7 és Linux. Böngésző: Firefox és Chrome.

A megoldás egyébként Seamonkey lett. Régi Mozilla feeling, bejön.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Silverlight nem megy. Most néztem, hogy van ilyen pipelight. Belenéztem (wine-nal futtatja a windows-os plugint) és úgy döntöttem, hogy a Linux-os gépemen nem lesz pipelight. Így a Silverlight továbbra sem fog működni.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

virtuális gép Windows 7-el, nem frissített IE-vel és régi JAVA telepítéssel amit CSAK ezekhez használok. Bónuszként az újabb HTTPS-es webfelületű konzoloknál hozzáadtam a certet is a böngészőhöz, így azért sem reklamál. Frissítések természetesen letiltva mindenhol.
A mai erőforrás mellett inkább futtatok egy ilyet, minthogy a host oprendszeremet szemeteljem össze és konfigurálgassak keresztbe kasba.

( debiandor | 2017. 03. 19., v – 22:56 )

A fenti verzióra frissítés még chipkártyás webbank-használatot is megnehezít...
"...Tájékoztatjuk, hogy a Firefox 52-es verziójára történő frissítés esetén az internetbanki rendszereink eléréséhez szükséges kiegészítők nem működnek, a böngésző frissítését követően az e-bank rendszerbe chip kártyával nem lehet belépni..."

Ügyes. Tehát a Firefox frissítése nehezíti meg a banki ügyintézést, nem pedig a bank az, ami nem követi le a technológia fejlődését, változását. Gondolom, amikor már senki sem támogatja az Adobe Flash-t, ugyanígy tájékoztatják az ügyfeleket arról, hogy az egész IT ipar akadályozza a banki ügyintézést. A bank technológiája természetesen rendben van, még a saját maguk által megálmodott követelményeknek is hibátlanul eleget tesz. Oké...

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Igazából pont annyit akartam csak írni, amit írtam is :)
Elég régóta lehetett tudni hogy ez így lesz, nem lehetett ezirányú fejlesztők számára váratlan (bár beleszólásuk általában kicsi van, hogy mit fejleszt le ebből a cég).
Hogy kinek a hibája, hogy a webbankba elég sok felhasználó hirtelen nem tudott bejelentkezni, szerintem nézőpont kérdése, mindenesetre kellemetlen.
Web-es szoftvereket folyamatosan faragni a böngészőgyártók módosításainak megfelelve (már amíg lehetséges) sem mindig öröm, el tudom képzelni hogy emiatt többen a böngészőn-kívüli vékony-kliensek felé veszik az irányt.

Ez a K&H egyre gagyibb. Eddig windows alatt lehetett csak használni a chipkártyás azonosítást, linux alá képtelenek voltak megoldást adni. Most meg erőltetik a mobilbank elérést, de windows phone-ra nincs applikációjuk. Mindent elkövetnek, hogy az ügyfél keressen másik bankot.

Pont a K&H mobilbankja az ami nagyon tetszik, okos eszköz, sokkal jobb és egyszerűbb vele belépni, jóvhágyni tarnzakiókat mint SMS-ekkel szöszölni.
Belépéshez felhasználói név sem kell, beolvasom a QR kódot, megadom az mpin kódoot (vagy a legutolsó frissítés óta az újlenyomatod (és maradtam a kódnál)) és be is léptél.
Van olyan bank, ahol a mobilbank aktiválását pontán kereszül, levélben kell kérni.
Ha újra rakod a telefonod, akkor kérheted újra.

( andras0602 | 2017. 03. 20., h – 18:12 )

Az idei DevConf-on hallottak alapján... szerintem a FF kullogva beállt a Chrome mögé. Pár év késéssel, de ugyan azokat a dolgokat kezdték el fejleszteni (pl. processek kezelése).
Azok az extra funkciók (pl. dokkolható youtube videó) amikkel próbál jópofa lenni, 1-2 pluginnal viszont Chrome-ban is elérhető.
Amiért nagyon szerettem/szerettük a FF-ot, hogy egészen komoly módosításokat is lehetett rajta eszközölni, amit sok konkurens nem engedett meg. Ez biztonsági szempontból nyilván pro/kontra, de ahogy én értettem, ez is oda lesz a jövőben. :(

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

( kovi | 2017. 03. 29., sze – 09:00 )

nem megy az ejelentés sem az oep oldalon, bejelentkezés után nyilván letérdel. hétfőn villámgyorsban egy retek explorerrel kellett megoldani az alkalmazott háziorvosi szoftverből indított jelentést kb. 3-4 hibaüzenet kíséretében. a mai nap a purgerrókák workaroundolásáról fog szólni több helyen, mert máshol sem tudnak jelenteni. ez faszán meg lett tervezve mindkét oldalról :DD

https://youtu.be/udSyfCBHoX8?t=1m59s

--
Vortex Rikers NC114-85EKLS

Hát nem. Az OEP-pel szerződött cégnek, amely a webes cuccaikat karbantartja, figyelnie kellene a trendeket, változásokat a szakmában. Például észre kellene venni, hogy létezik már html5, css3, hogy utáljuk a java applet-et és a flash-t, hogy nem használunk silverlight-ot, mert az MS specifikus, meg épp most dobták ki az egyik nagy böngészőből, és így tovább. Aztán, ha ezt észrevették, nem elég, ha felcsillan a szemük, hanem a kódot is ezen új szabványok, ajánlások, szokások szerint változtatják is.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

igen, de ide vonatkozó mondvacsinált és valós indokokkal sem a Mozilla Alapítványnál kellene játszani az izompacsirtát, főleg nem a Google-t majmolva. ez is a kalapban van. bár az OEP web eleve elég rossz példa, mert a jelenlegi funkciói akár össze is lehetnek drótozva az éppen használt random célszoftverrel, plusz nem biztos, hogy xy rendelőben webes jelentést használnak és megoldják mondjuk workaround által. tehát itt szerintem nem elég 1 felületen fejlesztést eszközölni, lapozni kell vele az erre alapozó szoftvereket is. nem is tudom hány ilyen lehet, biztos örülnek ott is. de nem vagyok háziorvos, nem láttam minden programot, nekem csak az orrom alá tolják a problémát "oldjátok meg kérlek" kísérőszöveggel és a fentieket látom.

btw érdekes beszélgetések sülhetnek ki abból, ha a trendeket hozod érvnek: a minap hozott a postás egy tértivevényes levelet az egyik hivatalos szervtől, benne egy 3.5"-os floppy lemezzel(!), amit postafordultával vissza kellett küldenünk pár adatot rámásolva. ezt már én sem éreztem eléggé "trendikének" :D

--
Vortex Rikers NC114-85EKLS

otthon és a cégnél van egy kazal gép amiben van FDD, akár 5.25.

nálam talán 5 évente egyszer ér célba a 'nem trendi' érv, szóval vannak akár igazán régi vasak is a kezeim alatt. btw én gyűjtöm pl. a régi IBM notikat stb. emiatt nem volt akadály, mégha annak is szánták volna.

--
Vortex Rikers NC114-85EKLS

( NevemTeve | 2017. 03. 29., sze – 14:30 )

De még van fejlődési lehetőség, eljöhet még az idő, amikor olyan böngészőnk lesz, amiből már az alábbi elavult technológiákat is kidobták: HTTP, JavaScript, TLS, Ipv4, HTML, TCP, CSS, DNS; helyettük Aktuális Pistike fészertákolmányai vannak, amikhez képest ama hírhedett leftpad maga a szakma csúcsa.

( hajbazer v | 2017. 03. 29., sze – 23:40 )

Nem kell tovább használni a pluginokat.

Fel kell ismerni, hogy fejlődés van.

Ideje tovább lépni és haladni a korral.

2017 van.

Java plugint csak extrém laggard használ (meg akinek CIB bankja van, de az most mindegy).

A pluginok már a múlt. Aki ilyen pluginokat használ, az nem halad a korral.

A pluginok API-ját nagyon nehéz karbantartani. Nem marad idő a fontosabbnál fontosabb fejlesztésekre, az új feature-ökre. Az új feature-ök viszik előre a Firefox-ot, a felhasználók többsége csak az újabbnál újabb feature-ök miatt használja.

Mások is már megtették, hogy kiszórták az NPAPI-t.

Ha a Google kiszórta az NPAPI-t, akkor mindenki jobb, ha megteszi, mert a Google-nál senki nem tudhatja jobban.

Erdekes modon, mikor volt kolleganak mondtam, hogy HTML5 helyett stricten parseolt XHTML-el kellett volna menni, hogy embernek is es gepnek is konnyu legyen feldolgozni, azt mondta, hogy az Internetet nem szabad eltorni!

Ez nyilvanvaloan igaz lehetett azelott, hogy a Google a kozelebe kerult a penzszivattyunak.

Elolvastad, hogy lent mit írtunk? Úgy látszik, nem. A plugin támogatást lényegében azért dobták, mert egy bazi nagy security hole volt az egész.

"Security considerations Including an NPAPI plugin in your extension is dangerous because plugins have unrestricted!!!! access to the local machine. If your plugin contains a vulnerability, an attacker might be able to exploit that vulnerability to install malicious software on the user's machine. Instead, avoid including an NPAPI plugin whenever possible.

És ez bizony meg is történet, mert ügyes - azt hiszem orosz - gyerekek találtak egy olyan hibát, aminek a mintájára még vagy 100 másikat találat, nem véletlenül tart a Java8 már 121-es verziónál.
Egy időben pl. simán el lehetett érni, hogy egy aláírt applet kapásból elindult a gépen, amikor megnyitottál egy weboldalt, ami rögtön ki is tört a jvm-ből, utána szépen telepített egy rootkitet,
vagy akár le is kódolta a vinyót. És az átlagfelhasználó SEMMIT nem tudott tenni, ráadásul a böngésző sem tudta megvédeni őt, és a böngésző fejlesztőknek sem volt ráhatásuk az egészre.

Na, pl. ezért kellett volna már réges-régen tiltani a pluginokat, sőt, igazából soha nem kellett volna engedélyezni őket. Mondom ezt úgy, hogy sok-sok éve én is fejlesztettem applet-et.

Itt lehet olvasgatni:

https://www.cvedetails.com/vulnerability-list/vendor_id-93/product_id-1…

https://arstechnica.com/security/2016/03/botched-java-patch-leaves-mill…

De nem kell megijedni, silverlight, flash, etc.-hez ugyanilyenek vannak.

Öööö.
A manapság divatos cuccok email-ben jönnek .js vagy hasonló kiterjesztésekkel, esetleg docx vagy hasonló formátumban, szintén email-ben. Balfasz user rákattinkt, és voila, le is van titkosítva a vinyó, kéretik csengetni bitcoin-ban.

Na ilyen esetet számtalant hallottam, olvastam. Firefox plugin témában kerek 0 jött eddig szembe.

Lásd még android "vírusok", ahol ráveszi a balfaszt arra hogy engedje a külső telepítést, majd felrakatja vele az apk-t, aztán "sebezhető az android"...

A plugin tiltás csak ezt minimálisan csökkenti, vagy talán ennyivel sem. Egyszerűen csak másolják azt amit a chrome (google) csinál. Ha így folytatják semmi értelme nem lesz a FF használatának, mert pont ugyanaz lesz mint a chrome, csak szarabbul...