Flash kuntoon Wheezy-Chromeen

Chro­men Flash-lii­tän­näi­ses­sä on ikä­vä vi­ka, jo­ka es­tää Flash-si­vu­ja toi­mi­mas­ta De­bian Whee­zys­sä. Sel­vi­tin syyn ja sen, mi­ten Flashin saa taas toi­mi­maan.Kuva: Kuvakaappaus Chromesta.

(Voit halutessasi siirtyä suoraan korjausohjeeseen)

Viime aikoina olen paristakin suusta saanut kuulla, että heidän Debian Wheezyssään ei toimi Flash Chrome-selaimella. Käytännössä tämä ilmenee siten, että kun käyttäjä navigoi sivulle, jossa Flash-liitännäistä tarvittaisiin, lävähtää ruutuun ”Shockwave Flash has crashed” -tietopalkki, eikä sivulla olevia Flash-osia voi tietenkään käyttää.

Lähdin diagnosoinnissani liikkeelle tyhjennä-välimuisti-tyylisillä perustempuilla, mutta kun ongelma ilmeni jopa täysin puhtaalla käyttäjäprofiililla, oli sukellettava syvemmälle. Siispä testiympäristö VirtualBoxiin tulille, ja itse koittamaan.

Päivitetty 10.10.: Flash ei toimi myöskään uudessa 38.0.2125.101-1 -versiossa. Ohjetta ja korjaustyökalua päivitetty.
Päivitetty 17.10.: Vika on korjattu versiossa 38.0.2125.104-1. Suosittelen päivittämään heti uusimpaan versioon. Tämän postauksen ohjetta ei tulee enää seurata, eikä korjausskriptille tarjota enää päivityksiä. Profiilin palauttaminen onnistuu tämän kirjoituksen lopussa olevan ohjeen mukaan.
Jatka lukemista >>

Näin suojaudut Java-aukolta

Oraclen Java 7:ssä ole­va auk­ko on va­ka­va, mut­ta oman ko­neen suo­jaa­mi­nen on help­poa.

Kuva: Java-logo/ Oracle

Viestintäviraston CERT-FI-viranomainen tiedotti eilen Sunin1 Oraclen Javan nollapäivähaavoittuvuudesta:

Java 7:n kaikki versiot sisältävät korjaamattoman haavoittuvuuden.
Haavoittuvuutta tiedetään käytetyn hyväksi kohdistetuissa hyökkäyksissä.
Koska korjausta ei ole, verkon käyttäjät voivat suojautua mahdollisilta
drive-by haittaohjelmatartunnoilta esimerkiksi poistamalla Javan
käytöstä selaimissaan.

Haavoittuvuus on varsin vakava: Java on asennettuna lähes kaikille koneille, eikä haavoittuvuuden hyväksikäyttö vaadi käyttäjän toimenpiteitä. Teoriassa siis Javan käyttäjät ovat jo voineet tietämättään saastuttaa koneensa.

Koska ohjelmistojätti Oracle ei ainakaan kirjoitushetkeen mennessä ole julkaissut korjauspäivitystä, ei aukkoa voi niin vain peittää. On olemassa kuitenkin ratkaisuja, joilla haavoittuvuuden vaikutusta omaan tietoturvaan voi rajoittaa. CERT-FI julkaisi varsin sekavan selityksen asiasta Facebook-sivullaan, joten tässä kirjoituksessa yritän kertoa asian hieman selkeämmin ja kuvien kera. Ohjeet ovat Windowsia tai Linuxia käyttäville Chrome-, Chromium-, Firefox- ja Opera-käyttäjille.

Päivitys 31.8.: Oracle on julkaissut haavoittuvuuden korjaavan päivityksen. Päivitetyn Java 7:n voi ladata Oraclen sivustolta.

Päivitys 1.9.: The Register kertoo, että tietoturvayhtiö Security Explorationsin mukaan Oraclen vasta julkaisemassa Java 7 Update 7 -päivityksessä on myös haavoittuvuus, joten suojautumistoimenpiteet ovat edelleen tarpeen, vaikka haavoittuvuutta ei vielä aktiivisesti hyväksikäytettäisikään.
Päivitys 1.2.2013: Tämä artikkeli saa kovasti Google-osumia! Koska kirjoitus on jo puolisen vuotta vanha, ja käsittelee jo korjattua aukkoa, täytyy ohjeita hieman soveltaa. Pääperiaatteet ovat kuitenkin samat. Saatan kirjoittaa jossain vaiheessa päivitetyn ohjeen, jolloin linkitän sen tästä kirjoituksesta.

Oletko vaarassa?

Vaikka maailmalla huudellaan, että kaikki tietokoneet olisivat yhtäkkiä vaarassa, ei tämä aivan pidä paikkaansa. Vain Oraclen ”virallinen” Java on haavoittuvainen, eikä esimerkiksi avoimen IcedTea-liitännäisen käyttäjien tarvitse ryhtyä mihinkään toimenpiteisiin. Aukko ei myöskään koske Oraclen Javan vanhemman 6-version käyttäjiä.

Jos et tiedä, mikä versio sinulla on käytössä, ota asiasta selvää:

  • Firefox: Vieraile Mozillan Tarkista liitännäisesi -sivulla. Jos luettelosta löytyy Java(TM) Platform SE 7 -alkuinen rivi, käytät haavoittuvaista Javaa, ja toimenpiteitäsi tarvitaan. Sillä, mikä päivitysversio Java 7:stä on käytössä, ei ole merkitystä.
    Haavoittuvainen Java-liitännäinen näkyy Firefoxin liitännäistarkistussivussa tähän tapaan.

    Kuva: Kuvakaappaus Mozillan Tarkista liitännäisesi -sivusta

  • Chrome ja Chromium: Siirry Chromen/ Chromiumin liitännäisten hallintaan syöttämällä chrome://plugins osoitekenttään. Laajenna tietoja valitsemalla sivun oikean yläkulman ”+ Tiedot” -linkki. Siirry Java -kohtaan. Jos Nimi-sarakkeen teksti alkaa ”Java(TM) Platform SE 7”, on käytössäsi haavoittuvainen versio. Tarkalla päivitysversiolla (U-jotakin) ei ole merkitystä.
    Chromen ja Chromiumin liitännäishallintapaneelista vaarallisen Java-liitännäisen tunnistaa tästä.

    Kuva: Kuvakaappaus Chrome-selaimen liitännäishallinnasta.

  • Opera: Siirry Operan Lisäosat -sivulle syöttämällä opera:plugins osoitekenttään. Jos luettelossa on rivi, joka alkaa ”Java(TM) Platform SE 7”, on käytössäsi haavoittuvainen Java-versio.
    Operan liitännäisissä vaarallinen Java 7 näkyy näin.

    Kuva: Kuvakaappaus Operan Liitännäiset-sivusta.

Jos Javan vaarallinen versio on selaimellasi käytössä, voit suojata itsesi muutamallakin tavalla:

  • Jos et tarvitse Javaa, poista se kokonaan (ohje 1).
  • Jos tarvitset Javaa, harkitse nykyisen Java 7:n poistamista ja vanhemman Java 6:n asentamista sen tilalle (ohje 2). Linux-käyttäjät voivat harkita myös esim. IcedTean asentamista (ohje 3).
  • Jos et tarvitse Javaa hetkeen, voit ottaa selaimen Java-liitännäisen pois käytöstä siksi aikaa kun Oracle valmistelee korjauksen siihen (ohje 4).
  • Jos välttämättä tarvitset Javan 7-versiota, on tilanne mutkikkaampi. Operan, Chromen ja Chromiumin käyttäjät voivat asettaa selaimensa toiminnolla Javan käyttöön vain niille sivustoille, joissa se on pakollista (ohje 5). Firefox-käyttäjien pitää käyttää esimerkiksi NoScript-lisäosaa saavuttaakseen saman lopputuloksen.

Riippuen tilanteestasi seuraa jotakin seuraavan kohdan ohjetta.

Ratkaisuohjeet

1. Javan poistaminen

  • Windows-käyttäjät: Javan voi poistaa avaamalla Ohjauspaneelin Ohjelmat » Ohjelmat ja toiminnot -ikkunan, valitsemalla Java 7 Update 6 -rivin (tai vastaavan), valitsemalla Poista asennus ja seuraamalla ohjeita.
  • Linux-käyttäjät: Java 7:ää ei vaikuttaisi olevan Ubuntun tai Debianin pakettivarastoissa. Muissa jakeluissa näin voi olla, ja poistaminen tapahtuu jakelun ohjeiden mukaan. Jos Java on asennettu paketinhallinnan ohi Oraclen ohjeiden mukaan, täytyy Javan kansio poistaa. Jos selaimille on luotu omat kopiot Java-pluginista (ei siis symbolisia linkkejä), tulee nämä myös poistaa. Lisätietoja on Oraclen sivustolla.

Varmista lopuksi, että Java on varmasti poistettu. Helpoiten sen voit tarkistaa samalla tavalla kuin aluksi tarkistit sen version – tässä tapauksessa Java-liitännäistä ei pitäisi olla listattuna lainkaan.

2. Java 6:n asentaminen

Poista aluksi Java 7 edellisen ohjeen mukaisesti. Asenna sitten Java 6:

  • Windows- ja useimmat Linux-käyttäjät: Lataa Java 6 Oraclen verkkosivustolta (Windows, Linux), ja suorita sen asennusohjelma.
  • Osa Linux-käyttäjistä: Jos jakelusi pakettivarastossa on Java 6 saatavilla, se kannattaa tietenkin asentaa ensisijaisesti normaalien pakettienhallintatyökalujen kautta. Esimerkiksi Debian Squeezessa paketti löytyy nimellä sun-java6-plugin.

Varmista lopuksi, että oikea versio on varmasti selaimessa käytössä. Tarkistaminen tapahtuu kirjoitukseni alun ohjeiden mukaan.

3. IcedTean asentaminen

Poista aluksi Java 7 ohjeen 1 mukaan. Asenna sitten IcedTea:

Avoimen lähdekoodin OpenJDK-ympäristöön perustuvan IcedTea-selainliitännäisen voi asentaa useimpiin Linux-jakeluihin, ja joissakin se on jo valmiiksi asennettuna. Ubuntussa paketti on icedtea-7-plugin ja Debianissa icedtea6-plugin. Paketti asennetaan jakelun oman pakettienhallinnan kautta.

Varmista lopuksi, että IcedTea on varmasti selaimessa käytössä. Tarkistaminen tapahtuu kirjoitukseni alun ohjeiden mukaan.

4. Java-liitännäisen käytöstä poistaminen

Liitännäisen käytöstä poistaminen on selainkohtaista:

  • Firefox: Avaa selaimen Lisäosien hallinta -sivu kirjoittamalla osoiteriville about:addons. Siirry sivun osioon Liitännäiset, ja klikkaa kohdassa ”Java(TM) Platform SE 7 …” olevaa Poista käytöstä -painiketta.
  • Chrome ja Chromium: Avaa selaimen Laajennukset-sivu kirjoittamalla osoiteriville chrome://plugins. Etsi luettelosta Java-liitännäinen ja klikkaa sen tietojen lopussa olevaa Poista käytöstä -linkkiä.
  • Opera: Avaa selaimen Lisäosat-sivu kirjoittamalla osoiteriville opera:plugins. Klikkaa ”Java(TM) Platform SE 7 …” -rivin otsikon Poista käytöstä -linkkiä.

5. Java-liitännäisen käytön rajoittaminen

Jos uusinta Javaa välttämättä tarvitaan jollakin tietyllä sivulla, kannattaa selain säätää niin, että Java sallitaan vain tietyille sivuille:

  • Chrome ja Chromium: Siirry Sisältöasetukset-dialogiin kirjoittamalla osoiteriville chrome://chrome/settings/content, ja vaihda Laajennukset-asetus valintaan Estä kaikki. Lisää sitten Javaa tarvitsevat sivustot Hallinnoi poikkeuksia… -dialogissa.
  • Opera: Avaa Asetukset-ikkuna valitsemalla Opera-valikon Asetukset-alivalikosta toiminto Asetukset…. Lisäasetukset-välilehden Sisältö-osiossa poista valinta kohdasta Lisäosat käytössä, ja hyväksy muutokset. Mene sitten sivustolle, joka vaatii Javan, ja valitse kontekstivalikon (klikkaa hiiren 2. painikkeella sivua) toiminto Muokkaa sivustokohtaisia asetuksia…. Valitse aukeavan dialogin Sisältö-välilehden Lisäosat käytössä -valintalaatikko, ja hyväksy muutos OK-painikkeella.


1) Kuka muistaa vielä Innotekin VirtualBoxin?

Selaimet testipenkissä: Chromium voittajaksi

Chromium vei muita selaimia 6-0 mm. suorituskykyisen
V8-JavaScript-moottorinsa ja monien prosessiensa ansiosta.

Kuva: Kuvakaappaus/ Chromium

Testasin vuonna 2009 muutamia selaimia, ja tuolloin Konquerorista, Operasta, Firefoxista ja Arorasta voittajaksi selviytyi Konqueror.

Tällä kertaa selainvalikoima oli eri, ja testin voitti Chromium repimällä jok’ikisestä testistä täydet pisteet.

Miten testattiin

Testissä käytettiin Ubuntu Linuxin versiota 11.04 seuraavanlaisessa kokoonpanossa:

  • Intel Core i5 650, 2×3,2 GHz, hypersäikeistys päällä
  • 4 Gt DDR3 (2×2Gt@1333MHz)
  • ATi Radeon HD 3450, fglxr käytössä, resoluutio 1152×864.

Selaimista valittiin ne versiot, jotka olivat tarjolla Ubuntun pakettivarastoissa, paitsi Operasta, josta käytettiin viimeisintä vakaata versiota, sillä Operaa ei löydy Ubuntun pakettivarastoista. Sulkeissa käytetty jäsennysmoottori versioineen.

  • Chromium 13.0.768.215 (WebKit 535.1)
  • Mozilla Firefox 6.0.1 (Gecko 6.0)
  • Opera 11.51 (Presto 2.9.168)
  • Midori 0.4.0 (WebKitGtk+ 1.3.13)

Testit

Selaimia testattiin kuudella testillä:

Edellämainittujen lisäksi testasin selainten laskentasuorituskykyä yksinkertaisella JavaScript-pätkällä, joka suoritti ”i++”:aa 10 sekunnin ajan. Tämä testi suoritettiin sekä yhdessä että neljässä välilehdessä samanaikaisesti.

Pisteytys

Koska testien pisteytys oli keskenään yhteensopimaton, annettiin kustakin testistä parhaan tuloksen saaneelle 4 pistettä, 2. parhaalle tulokselle 3 pistettä ja niin edelleen. Tasatuloksissa molemmille annettiin yhtä monta pistettä.

Tulokset

Sulkeissa olevat tulokset ovat testien antamia pistemääriä. Raakalaskennan tulos on miljoonaa laskutoimitusta kymmenessä sekunnissa.

Testi Chromium Firefox Opera Midori
V8 4 (10820) 3 (5100) 2 (4437) 1 (3922)
HTML5 4 (322) 3 (313) 1 (286) 2 (288)
ACID3 4 (100) 1 (97) 4 (100) 2 (99)
Peacekeeper 4 (11748) 2 (6514) 3 (9491) 1 (5771)
Raaka 1välil. 4 (105) 2 (70) 1 (59) 3 (72)
Raaka 4välil. 4 (206) 3 (86) 2 (58) 1 (N/A)
Yhteensä 24 14 13 10

Chromium oli jokaisessa testissä täysin omassa luokassaan (pl. ACID3, jossa se ja Opera saivat molemmat täydet pisteet), eikä varmasti vähiten sen kehittyneen V8-JavaScript-moottorinsa takia. Testin selaimista ainoana Chromium ajaa jokaista välilehteä omassa prosessissaan, minkä hyöty on parhaiten huomattavissa raakalaskennan tuloksista: kun molemmat ytimet olivat täydellä käytöllä, tulos oli liki kaksinkertainen.

Niin lähellä mutta kuitenkin niin kaukana: Midorilta jäi
ACID3 -testissä puuttumaan yksi ainoa piste.

Kuva: Kuvakaappaus/ Midori/ACID3

Muilla selaimilla oli enemmän tai vähemmän vaikeuksia, kun neljä välilehteä taisteli yhden prosessin resursseista. Itselleni käsittämättömästä syystä HTop-valvontatyökalu tosin ilmoitti Firefoxin käyttävän yhdellä prosessillaankin 120 prosenttia suorittimesta, siinä missä Midorin ja Operan suoritinkäyttö oli tasaista sataa prosenttia. Midorin tulos monella välilehdellä ei tosin ollut mielekäs, sillä Midori ei suostunut ajamaan kaikkia skriptejä samaan aikaan, vaan se suoritti niitä peräkkäin. Myös Firefox kärsi hieman siitä, että ajoaika ei pysynyt kymmenessä sekunnissa kaikilla välilehdillä, mutta heitot olivat vain joitakin sekunteja ja ne otettiin huomioon pisteytyksessä.

Positiivista oli huomata, että HTML5-tuki oli joka selaimessa – jopa vähemmäntunnetussa Midorissa – hyvällä tasolla. Täyteen 450 pisteeseen on joka selaimella kuitenkin vielä matkaa: vaikka paikalliset tietovarastot (localStorage ja kumppanit) ovatkin selaimissa hyvin tuettuna, esimerkiksi kaikkia input-tyyppejä ei taida vielä mikään selain täysin tukea.

HTML5-testissä Firefox sai pistemääräksi 313 pistettä, 9
vähemmän kuin tämänkin kisan voittanut Chromium mutta
huomattavasti enemmän kuin Opera tai Midori.

Kuva: Kuvakaappaus/ Firefox/ HTML5test

Tällaiset testit eivät tietenkään anna täydellistä kuvaa siitä, millainen selain on oikeassa käytössä. Varsinaisessa nettiselailussa myös käytön helppous ja selaimen muut toiminnot vaikuttavat luonnollisesti myös siihen, millaiselta selain vaikuttaa käyttäjälle. Varsinkin HTML5-tuen kehittyminen tulee varmasti vaikuttamaan vielä radikaalisti Internet-selailukokemukseemme.

Kuten vuonna 2009, myöskään nyt en ole valmis siirtymään ”parhaaseen” selaimeen vakioselain Firefoxistani. Tuliketun ja minun välille on vuosien aikana kehittynyt eräänlainen viha-rakkaussuhde¹: toisinaan ihailen sen välilehtiryhmiä ja laajaa lisäosavalikoimaa, toisinaan sitten kiroan ihmeellisiä bugeja JavaScript-moottorissa ja kaatumista kesken kaiken. Ehkä kaikki olisi paremmin, jos käyttäisin Chromiumia, mutta tässä asiassa minun täytyy vain kuunnella sydäntäni.

1) Tässä vaiheessa Firefox otti ja kaatui, eikä suostunut enää kaatumatta avaamaan artikkelia editoitavaksi, joten kirjoitin tämän postaukseni loppuun Chromiumilla. Ihan totta.

FB-kysymysten piilottaminen ei saa vaatia tietoturvan menetystä

Facebookin kysymykset
ovat ehkä ärsyttäviä,
mutta niiden piilottaminen
3. osapuolen ohjelmalla
ei ole kovin fiksua.

Kuva: Facebook-
logo

Facebook-kaverini linkkasi blogikirjoitukseen otsikolla ”Näin kadotat Facebook-kysymykset” [pietar.in]. Kirjoittajalla on varmasti hyvä tarkoitus, mutta kirjoituksessa tarjottu ratkaisu ei ole omiaan rakentamaan todellista, käyttäjästä lähtevää, tietoturvaa.

Kirjoitus esittelee F.B Purity -nimisen [fbpurity.com] selainlisäosan, joka mukauttaa ilmeisesti Greasemonkeya [mozilla.org] apuna käyttäen Facebook-käyttökokemusta käyttäjän valintojen mukaan. Yksi lisäosan toiminnoista on monia ärsyttäneiden Facebook-kyselyjen piilottaminen.

En ole itse kyseistä lisäosaa käyttänyt, enkä väitä, etteikö se olisi turvallinen ja näppärä. Tässä mielestäni ollaan kuitenkin liikkeellä väärällä tavalla: ollaan uhraamassa tietoturvallisuus käyttömukavuuden ja -helppouden tähden.

Selainlisäosalla on paljon
valtaa, mutta kuka katsoo
lisäosan perään?

Kuva: Openclipart

Selainlisäosilla on kuitenkin melko vapaat kädet tehdä selaimessa mitä tahansa, eikä niiden oikeellisuudesta voida mennä täysin takuuseen. Tällaisessa käyttöskenaariossa eräs olemassaoleva riski on se, että lisäosa lähettää yksityisiä ja toisinaan arkaluontoisiakin tietoja eteenpäin, jolloin vaikkapa identiteettivarkaus voisi olla mahdollinen.

Lisäksi tässä ollaan tarkoituksella rikkomassa sitä käyttökokonaisuutta, jonka Facebook on käyttäjilleen toteuttanut: he ovat halunneet tässä vaiheessa, että kyselyt näkyvät aina, ja tällaisen ”ongelman” kiertäminen teknisesti on hieman kyseenalaista.

Eniten olen oikeastaan huolissani niiden naiivien käyttäjien puolesta, jotka eivät tällaisista asioista halua huolestua: he löytävät helpon ratkaisun heitä kiusaavaan asiaan eivätkä ajattele asiaa sen enempää. Ja kun tällaiseen ”helppoon elämään” ollaan totuttu, pian ollaan jo lataamassa ilmaisia rekisterinpuhdistimia, jotka nopeuttavat konettasi ainakin 4000 %.

Jos kyselyt silti ärsyttävät – mikä on omasta kokemuksestani melko todennäköistä – olisi oikea suunta palautteen antaminen Facebookille, ja viime kädessä äänestäminen jaloilla – jos tällainen ontuva kielikuva sosiaaliseen mediaan liittyen sallitaan.

On näin ollen suorastaan edesvastuutonta antaa tällaisia ”vinkkejä” vähemmän tietotekniikkaa tunteville ihmisille, sillä he eivät todennäköisesti ymmärrä omaa parastaan – eivätkä tulekaan ymmärtämään, mikäli kaikki tarjotaan hopeatarjottimella niin, että omien aivojen käyttö kielletään.

Lopuksi vielä Facebook-aiheinen tietoturvavinkki: Facebookia voi – ja kannattaa – nykyään käyttää SSL-salattua yhteyttä käyttämällä lisäämällä osoitteeseen yhden s-kirjaimen, siis https://facebook.com; temppu toimii myös mobiiliversioilla.

Pysyvästi salatun yhteyden saa käyttöönsä asetuksista: Käyttäjätili » Käyttäjätilin asetukset » Asetukset » Käyttäjätilin turvallisuus, valitsemalla valintaruudun ”Selaa Facebookia salatun yhteyden (https) kautta aina kun mahdollista” ja lopuksi tallentamalla uudet asetukset.

Konqueror paras, Safarin sukulainen huonoin

Testasin neljää erimoottorista selainta Futuresoftin uudella Peacekeeper-testillä ja standardeja testaavalla Acid3-testillä. Testien antamat pistemäärät on vain laskettu yhteen, eikä näin siis ihmeellisempiä painotuksia ole tehty. Versiot ovat ensimmäiset käteen sattuneet (Ubuntun pakettivarastoista, paitsi Opera, joka on Operan sivuilta ladattu).

Testi on tehty Ubuntu Linux 8.10:llä (Intrepid Ibex) tietokoneella, jossa on AMD Athlon XP 1900+ -suoritin ja 512 Mt muistia. Jos jokin olennainen selain tai moottori jäi mielestäsi testaamatta, kerro siitä vaikkapa kommenteissa.

1. Konqueror 4.2.0 (KHTML)

  • Acid3-pisteet: 83
  • Peacemaker-pisteet: 159
  • Yhteensä: 242

2. Opera 9.64 (Opera)

  • Acid3-pisteet: 83
  • Peacemaker-pisteet: 156
  • Yhteensä: 239

3. Firefox 3.0.7 (Gecko)

  • Acid3-pisteet: 71
  • Peacemaker-pisteet: 139
  • Yhteensä: 210

4. Arora 0.3 (QtWebKit)

  • Acid3-pisteet: 41
  • Peacemaker-pisteet: 93
  • Yhteensä: 134

Yllättävää oli, ettei Opera ole Konqueroria kuin kolme pistettä huonompi. Lisäksi Aroran huonompi tulos saattaa johtua siitä, ettei se ole vielä kovin kehittynyt selain, joskin ihan käytettävä sellaisenaan.

En kuitenkaan ole Firefoxista vaihtamassa vielä mihinkään, sillä arvostan selaimessa muutakin kuin nopeutta ja standardien noudattamista (vaikka nekin ovat tärkeitä), mutta Konquerorin käyttämistä vakituisena selaimena voisi joskus kokeilla.