r   e   k   l   a   m   a
r   e   k   l   a   m   a

Popierany przez Netfliksa standard zagraża bezpieczeństwu przeglądarek – a badaczom nie wolno przy nim grzebać

Strona główna AktualnościBEZPIECZEŃSTWO

Legalnie działające serwisy streamingowe porzucają wtyczki takie jak Silverlight i Flash, by zaoferować internautom treści bezpośrednio do przeglądarek, obsługujących standardy HTML5. Pod wieloma względami to bardzo dobra zmiana, ale jedno pozostaje tu takie samo jak było. DRM, mechanizmy zarządzania dostępem do chronionych prawem autorskim treści, są wciąż nieodzownym elementem tego procesu, mimo że w rzeczywistości zapewniana przez nie ochrona jest fikcją. Zmusza to producentów przeglądarek do implementowania modułów DRM, potencjalnie niebezpiecznych. Ale uwaga – gdy odkryjesz lukę w takim module, lepiej siedź cicho, ponieważ jej zgłoszenie może skończyć się poważnymi kłopotami.

Za sprawą starań Konsorcjum WWW pojawiło się w końcu rozszerzenie HTML5, które przyniosło obsługę DRM dla mediów do przeglądarek. Encrypted Media Extensions (EME) było promowane przede wszystkim przez Netfliksa. Założenia szybko znalazły poparcie wszystkich producentów przeglądarek. Efekt końcowy był jednak daleki od oczekiwań. Nie pozbyliśmy się wtyczek, w praktyce EME stało się kolejną wtyczką, której potrzebujemy, by odtworzyć zabezpieczone media, wtyczką, która ładuje własnościowe, zamknięte moduły DRM, takie jak Google Widevine czy Adobe Primetime.

Na zagrożenia związane z wykorzystywaniem wtyczek w przeglądarkach wskazuje się od dawna, i to kwestia bezpieczeństwa była jednym z powodów odejścia od nich. O ile jednak wiemy, czego spodziewać się po takim Flashu (czyli niekończącego się strumienia łatek do łatek), to te własnościowe moduły DRM pozostają zagadką, potencjalnie znacznie bardziej niebezpieczną niż wtyczka Flasha. I nie powinno to nikogo dziwić, ponieważ dla whitehatów samo bliższe przyglądanie się takim własnościowym rozwiązaniom DRM jest ryzykowne.

r   e   k   l   a   m   a

Problem tkwi w amerykańskiej ustawie Digital Millenium Copyright Act, która w praktyce zakazuje informowania o odkrytych w takim oprogramowaniu lukach bez uzyskania zgody producenta. To zaś stoi w sprzeczności ze wszelkimi dobrymi praktykami branży, gdzie zakłada się, że jeśli producent w rozsądnym czasie łatki do odkrytej luki nie dostarczy, to informacje o luce należy upublicznić. Tak więc należy uznać, że przejście z Silverlighta i Flasha na EME jedynie zwiększa zagrożenie dla użytkowników przeglądarek.

Ian Hickson z grupy roboczej WHATWG wyszedł więc z ciekawą propozycją. Niech każda z firm pracujących nad specyfikacją EME podpisze zobowiązanie, że nigdy nie pozwie badaczy, którzy analizują moduły DRM pod kątem tkwiących w nich luk. Takie rozwiązanie miałoby swój precedens. Konsorcjum WWW czegoś takiego żąda od swoich członków w odniesieniu do patentów, czemu więc podobnej ochrony nie zapewnić badaczom?

W3C odrzuciło niestety pomysł, mimo że było do tego zachęcane też przez Electronic Frontier Foundation. Najwyraźniej samo obawiało się związanych z tym kłopotów – być może dlatego, że karta konsorcjum niebawem wygaśnie, a zarząd nie chciał podejmować żadnych nowych decyzji. Problem w tym, że producenci przeglądarek wcale nie chcą badaczom zapewnić ochrony. Jak do tej pory jedynie twórcy przeglądarki Brave, za którą stoi były szef Mozilli Brandon Eich, poparli propozycję WHATWG i EFF w celu stworzenia takiego paktu o nieagresji.

To, jakim zagrożeniem mogą być wszelkie własnościowe mechanizmy zabezpieczające, pokazała ostatnio historia ostatniej aktualizacji do Street Fightera V, która przyniosła „rozwiązanie antycrackerskie”, mające uniemożliwić graczom majstrowanie przy grze. Okazało się ono niczym innym jak tylko ukrytym rootkitem, otwierającym na komputerze furtkę dla malware, wyłączając zabezpieczenia systemowe i uruchamiając własny sterownik z uprawnieniami kernela. Na szczęście producent gry się opamiętał i swoje rozwiązanie antycrackerskie szybko wycofał – ale pomyślmy, co by było, gdyby było ono chronione przez ustawę DMCA?

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.