Firefox jde proti PDF prohlížečům v plug-inech

Jiří Macich ml. 25. 2. 2013

Nový Firefox 19: jeho uživatelé k prohlížení PDF souborů v okně prohlížeče již nepotřebují plug-in. V budoucnu dost možná bude Firefox blokovat téměř všechny plug-iny, dokud si uživatel o jejich služby sám neřekne. Proč? Co ještě přináší Firefox 19? A co přinese Firefox 20? Odpovědi naleznete v tomto článku.

Mozilla Firefox 19 jako hlavní novinku přináší integrovaný prohlížeč PDF souborů. Ten je součástí Firefoxu již delší dobu, ovšem kvůli stále pokračujícímu vývoji byl až dosud ve výchozím nastavení neaktivní, což se s příchodem Firefoxu 19 mění. Nový PDF prohlížeč je uživatelům běžně k dispozici. Z technologického hlediska je velmi zajímavý, protože k vykreslení PDF souborů využívá čistě webových technologií v čele s HTML 5.

Jde o další z experimentálních rozšíření Mozilla Labs, které se po delší době usilovného vývoje povedlo přetavit v základní funkci Firefoxu. Vlastní prohlížeč PDF souborů má delší dobu také Google Chrome, ovšem v jeho případě se jedná jen o předinstalovaný plug-in. Google nahradil problematický plug-in programu Adobe Reader o něco lépe hodnocenou technologií společnosti Foxit Software.

Mozilla ale v praxi ukázala, že plug-iny lze vyměnit za čistě webové řešení. Alespoň v tomto případě. Integrovaný PDF prohlížeč navíc nahrazuje plug-in dosti problematického programu Adobe Reader, který často trpí bezpečnostními chybami. O poslední zatím objevené odborníci referovali tento měsíc.  Není tedy divu, že se počítačové podsvětí zaměřuje právě na tento program od společnosti Adobe.

Mozilla Firefox nyní pro zobrazování PDF souborů v okně browseru využívá vlastní prohlížeč založený na HTML 5.

Podle analýzy Kaspersky Lab za třetí čtvrtletí loňského roku k 25 % útokům byl zneužit právě prohlížeč PDF souborů Adobe Reader. Jen pro srovnání: pouhá 4 % útoků využívala zranitelností v systémech Microsoft Windows a prohlížeči Internet Explorer. Nebezpečí zde tkví v tom, že stačí na webu náhodou narazit na odkaz, který vede na PDF soubor skrývající exploit.

V éře tzv. zkracování odkazů má uživatel mnohdy nulovou šanci to zjistit. Prohlížeč pak při přítomnosti plug-inu programu Adobe Reader odkazovaný PDF soubor zobrazí ve svém okně právě díky tomuto plug-inu. Možnost pro drive-by útok, kdy stačí pouhé načtení obsahu bez potřeby další interakce s uživatelem, je rázem na světě.

Nahradit plug-in Adobe plug-inem jiné společnosti není příliš koncepční. Mozilla zvolila multiplatformní řešení založené na otevřených technologiích, kdy sama má kontrolu nad jeho bezpečností a může jej snadno aktualizovat spolu s prohlížečem. Bohužel zatím nejde o plnohodnotnou náhradu programů jako je Adobe Reader či Foxit Reader.

I přes integrovaný prohlížeč PDF souborů je samozřejmě stále možné PDF soubory otevřít ve specializovaném programu.

Nicméně pro vykreslení například faktury nebo manuálu postačuje. Kdo chce víc, může si zobrazený PDF soubor otevřít v programu k tomu určeném. Ovšem tentokrát již zcela vědomě. Pokud tedy před lety vznikla představa, že se PDF soubory budou zobrazovat ve webových prohlížečích, tak je správné, že nyní k tomu lze využít skutečně samotný webový prohlížeč.

Další novinky nejen pro vývojáře ve Firefoxu 19

Firefox 19 nepřinesl jen integrovaný PDF prohlížeč založený na webových technologiích. Mozilla si přichystala také dvě významné novinky pro vývojáře. První je Remote Web Console pro spojení desktopového Firefoxu s Firefoxem pro Android nebo systémem Firefox OS pro chytré mobily. Druhou zajímavou novinkou je zpřístupnění nástroje Browser Debugger pro tvůrce rozšíření.

Obě novinky jsou zatím v experimentálním stádiu, takže je třeba nejdříve aktivovat přes about:config. Podrobnosti viz poznámky k vydání, kde jsou zmíněny i další úpravy včetně dvou slibujících zrychlení startu prohlížeče. Rychlost spouštění Firefoxu je dlouhodobě kritizována. Mnohdy ale není na vině prohlížeč, nýbrž například plug-iny či rozšíření, pomalý pevný disk, zdržující skenování antiviru a další externí vlivy.

Firefox 20 s novým stahováním a lepším anonymním režimem

Přibližně za šest týdnů by se měl objevit jubilejní Firefox 20. Nabídne velmi pravděpodobně ochranu proti nežádoucí změně vyhledávače napojeného na adresní řádek, kterou se nepovedlo dodělat včas pro zařazení do Firefoxu 19. Zdá se to jako drobnost, ale podle poznatků ze stránek podpory pro uživatele je nežádoucí změna zde používaného vyhledávače nejčastěji řešeným problémem.

Další významnou novinku bude vylepšený anonymní režim, kdy konečně Firefox nabídne jako všichni hlavní rivalové podporu pro souběžný běh okna s anonymním režimem a běžných oken. Dnešní ukládání běžné relace před spuštěním anonymního režimu a její následné obnovení po ukončení anonymního režimu je dosti nepohodlné.

Firefox 20 by měl podporovat koexistenci klasických oken prohlížeče a okna s aktivním anonymním režimem.

Mozilla také zřejmě konečně splatí dluh, který vůči uživatelům má již od vydání Firefoxu 4 v březnu roku 2011. Tím je dlouho slibovaný a mnohokrát odložený nový Download Manager (Správce stahování), který byl donedávna k dispozici jen v experimentálních nočních buildech. S Firefoxem 4 z okna prohlížeče zmizel stavový řádek, takže v rámci hlavního okna není jak sledovat průběh stahování souborů, natož ho řídit.

Uživatelé jsou tak už téměř dva roky odkázáni na služby rozšíření, jako je Download Statusbar. To by ale Firefox 20 měl změnit. Na nástrojovém panelu přibude nové tlačítko. Při aktivním stahování bude indikovat jeho průběh. Po kliknutí na něj se zobrazí v plovoucím okně detail běžícího stahování a historie naposledy stažených souborů s možností kompletní správy tak, jak to známe dnes ze samostatného okna.

Firefox 20 vyřeší problém s nepraktickým stahováním souborů novým Správcem stahování v hlavním okně prohlížeče.

Firefoxu 20 by měl též přinést vyladěný výkon hned na několika frontách. Má se zrychlit načítání stránek, díky tomu, že Firefox bude načítat skripty a styly s vyšší prioritou než datově objemnější obrázky. Zrychlit se má také inicializace stahování souborů a zavírání prohlížeče. Novinkou pak bude i možnost manuálně „shodit“ plug-in, který delší dobu nereaguje. 

Google Chrome nabízí uživateli, jestli chce ukončit činnost neodpovídajícího plug-inu anebo dál čekat na jeho odpověď. Mozilla Firefox podobnou funkci aplikuje na skripty. Nově ji nasadí také na plug-iny. Díky již dřívějšímu oddělení plug-inů do samostatného procesu s násilným ukončením plug-inu nedojde k pádu celého prohlížeče. Je to další krůček k civilizovanější práci s plug-iny.

Webové vývojáře ale zřejmě bude více zajímat implementovaná a ve výchozím stavu aktivní podpora pro Flexbox z ranku CSS 3. Flexbox (Flexible Box) umožňuje výrazně lépe navrhovat design webu s ohledem na různá rozlišení a v dnešní době zejména s ohledem na prohlížení webu nejen na počítači, ale i na všemožně velkých displejích chytré elektroniky.

Zlepší se také podpora přehrávání multimediálního obsahu díky HTML 5. Firefox 20 bude umožňovat zrychlení přehrávání. Například video s prezentací bude možné rychle „přetáčet“ a zastavit až na pasáži, která uživatele zajímá. Novinkou je také podpora řetězení přehrávání souborů s audiem žádaná některými provozovateli internetových rádií. Řetězení bude podporováno pro audio využívající kodeky OGG Vorbis a Opus.

Mozilla přitvrzuje v souboji s problematickými plug-iny

Když byla výše řeč o plug-inech, pak nelze nezmínit, že Mozilla se rozhodla zakročit i proti dalšímu problematickému plug-inu z dílny Adobe, kterým je Flash Player. Nově Firefox automaticky spouští jen jeho nejnovější verzi dostupnou pro danou platformu. Starší verzi si uživatel na konkrétním webu může spustit až na vlastní vyžádání poté, co je seznámen s nebezpečím, které představuje zastaralý plug-in.

Mozilla pak v rámci projektu Shumway pokračuje na vykreslování elementů využívajících technologii Flash jen za pomocí webových technologií. Je pravděpodobné, že ve vzdálenějším budoucnu pro základní vykreslování poslouží samotný webový prohlížeč s tím, že pro pokročilejší prvky bude možné na vyžádání aktivovat Flash Player.

V dohledné zůstane nejnovější Flash Player jediným ve výchozím stavu aktivním plug-inem. Ostatní plug-iny budou automaticky aktivní až na vyžádání. Tedy v okamžiku, kdy je skutečně uživatel potřebuje a sám si je proto aktivuje. Mozilla tak chce uživatele chránit proti drive-by útokům. Zmíněná restrikce pro Flash byla zavedena se zpětnou platností ještě před vydáním Firefoxu 19. 

Už od Firefoxu 18 však je zkoumána aktuálnost plug-inů pro technologie Silverlight a Java a plug-inu programu Adobe Reader. Pokud je používána zastaralá verze, dojde k jejímu automatickému zablokování. Uživatel si pak může plug-in v případě potřeby (vědomě!) aktivovat manuálně anebo je nasměrován k jeho aktualizaci.

Jenže taková ochrana zjevně nestačí. Různých plug-inů se v běžných instalacích objevují řádově i desítky a mnoho z nich v průběhu času obsahovalo, obsahuje či bude obsahovat aktivně zneužívanou chybu i ve své nejnovější dostupné verzi. Dálková deaktivace, ke které Mozilla v těchto případech sahá, přestává být v posledních měsících okrajovým nástrojem, takže není divu, že Mozilla chce zpřísnit přístup Firefoxu k plug-inům.

Odezva odborné veřejnosti je spíše negativní. Na adresu zmíněného opatření padají slova jako extrémní nebo neuvážené. Mozilla se však již několik let snaží upozorňovat na nedostatky plug-inů. Vede osvětovou kampaň a pro uživatele i konkurenčních prohlížečů provozuje službu umožňující kontrolu aktuálnosti plug-inů s odkazy na jejich případnou aktualizaci. Diskutuje také s tvůrci plug-inů, ale problémy nemizí, ty bezpečnostní naopak eskalují.

Bezpečnost plug-inů je pro Mozillu velké téma již několik let. Pro uživatele různých prohlížečů provozuje službu, díky níž si mohou zkontrolovat stav svých nainstalovaných plug-inů.

Vypnout až na nejnovější Flash Player všechny plug-iny sice můžeme hodnotit jako extrémní opatření, ovšem v éře relativně snadno možných drive-by útoků je takové řešení na místě. Navíc Mozilla k němu dospěla po letitém procesu hledáním té správné cesty, nejde o ukvapené řešení po jednom či dvou ojedinělých incidentech.

Jestliže se povede správu plug-inů vhodně zpracovat tak, aby koncoví uživatelé nebyli kvůli neaktivním plug-inům mnohdy bezradní, může jít o bezpečnostní killer-feature. Nemluvě o tom, že to přispěje k akceleraci hledání čistě webových alternativ kompatibilních napříč platformami od osobních počítačů přes chytrá mobilní zařízení po chytrou černou elektroniku. 

Ohodnoťte jako ve škole:

Průměrná známka 1,46

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Vitalia.cz: Martin Kasa o byznysu s léky

Martin Kasa o byznysu s léky

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Vitalia.cz: Vydával se za český, prozradila ho DNA

Vydával se za český, prozradila ho DNA

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

Vitalia.cz: Grilujte v parku i na loďce

Grilujte v parku i na loďce

DigiZone.cz: V RS7 ukončila vysílání Retro Music Television

V RS7 ukončila vysílání Retro Music Television

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

Podnikatel.cz: Využijte v byznysu nulové tarify

Využijte v byznysu nulové tarify

Podnikatel.cz: Etický kodex firmy nezachrání

Etický kodex firmy nezachrání

DigiZone.cz: Kolik lidí sleduje hokej na webu ČT?

Kolik lidí sleduje hokej na webu ČT?

DigiZone.cz: Stream představil souboj žroutů

Stream představil souboj žroutů

Podnikatel.cz: Vyzkoušejte k propagaci výrobku Microsites

Vyzkoušejte k propagaci výrobku Microsites

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

120na80.cz: Jak správně vytrhnout mléčný zub?

Jak správně vytrhnout mléčný zub?