Toon posts:

Shark007 codecs en security

Pagina: 1
Acties:

Onderwerpen

Codecs Security

zondag 22 januari 2012 17:28

Acties:
  • 0 Henk 'm!
  • Stupendous Man
  • Registratie: Juni 2010
  • Laatst online: 22-02-2024

Stupendous Man

Topicstarter
Ter informatie,
aan wie geïnteresseerd is,

Onlangs heb ik op het Shark007 forum een thread gestart "Mentioning security updates in changelogs",
zie: http://shark007.net/forum...ity-updates-in-changelogs
en vervolgens op Security.nl de thread "Shark007 codecs en security",
zie: http://www.security.nl/ar...7_codecs_en_security.html

Essentie:
- Hoe zit het met de security van codec packs, met name met die van de Shark007 codec packs?
- Zit het wel snor met Shark007 codec packs en security, hebben die simpelweg zelden of nooit security updates nodig, of ligt dat mogelijk anders?
- Ik zeg niet dat er iets mis is met de Shark007 software, maar ik denk dat de gebruikers meer informatie nodig hebben over de vraag of de beveiligingsupdates die zijn geïmplementeerd in de bron-software ook geïntegreerd zijn in de Shark007 codec packs en of bepaalde Shark007 updates wellicht moeten worden beschouwd als beveiligingsupdates.

Shark007 bagatelliseert de materie, en stelt, "I cannot think of a single security update that was ever released for a codec".
Mijn voorbeelden die anders laten zien, waaronder de zeer frequente security updates voor FFmpeg, waarvan Shark007 code gebruikt, die worden genegeerd door Shark007.
En na korte tijd heeft Shark007 gemeend dat hij de thread op zijn forum moest sluiten, omdat hij, zoals hij dat zelf aangeeft, "do not wish to entertain your insecurities any further". Welja zeg.

Door hoe Shark007 op zijn forum omgaat met legitieme vragen (niet alleen de mijne maar ook andere), heb ik inmiddels erg weinig vertrouwen meer in zijn persoon en daardoor tevens in zijn software. Beslist jammer, want buiten de onduidelijkheid betreffende security zijn het beslist prettige codec packs.
(Ik gebruik nu overigens inmiddels GOM Player, net als onder meer VLC media player heeft dat geen extern codec pack nodig om bijna alles te kunnen afspelen.)

Wie geïnteresseerd is in de materie, lees de twee bovengenoemde threads, op het Shark007 forum, en op Security.nl.
En wie denkt dat ie in die thread op Security.nl nog een aanvullende en opbouwende bijdrage kan geven, wees welkom.
(Posten kan daar eventueel zonder account, oningelogd, als 'Anoniem', de posts worden dan eerst beoordeeld, en dus gepost met vertraging, én posten kan na het aanmaken van een account op Security.nl, ingelogd, zonder vertraging door beoordeling.)

maandag 23 januari 2012 09:50

Acties:
  • 0 Henk 'm!
  • DeTeraarist
  • Registratie: November 2000
  • Laatst online: 02:46

DeTeraarist

#Boots2Asses

't Is goed dat je je bezorgd maakt over je veiligheid. Echter jouw verhaal geeft perfect aan waar het 9 van de 10 keer fout gaat. Namelijk: de onwetende gebruiker.

Het installeren van een codec pakket in opzicht van veiligheid is ten alle tijden fout. Daar valt niet over te discusseren, je geeft de verantwoordelijkheid voor het up to date zijn van je codecs uit handen. Er zit altijd vertraging tussen het uitbrengen van een nieuwe codec en het uitbrengen van een nieuw codecpakket. Daarnaast weet je niet of de uitgever van het pakket niet zelf aan de codecs heeft gesleuteld.
Ik zie in de changelogs van Shark007 dat hij netjes aangeeft welke nieuwe versies van codecs worden meegeleverd. Wat houd je tegen om zelf de changelogs er bij te halen?

Hier dan het stukje waarom ik je beticht van gebrek van kennis: je installeert GOM Player om niet meer afhankelijk te zijn van Shark007. Wat je echter niet weet is dat GOM Player net zo hard gebruik maakt van FFMpeg als dat Shark007 dat doet. Je denkt nu veilig te zijn met je player, maar dat ben je allerminst, sterker nog, bij GOM Player zijn ze zo achterbaks dat ze niet eens melden dat ze FFMpeg gebruiken, laat staan dat dat in hun changelogs wordt genoemd.

Soms, als ik heel stil ben, kan ik de zon horen schijnen

maandag 23 januari 2012 13:22

Acties:
  • 0 Henk 'm!
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Client Software Algemeen -> Beveiliging & Virussen

Signature

maandag 23 januari 2012 16:24

Acties:
  • 0 Henk 'm!
  • Stupendous Man
  • Registratie: Juni 2010
  • Laatst online: 22-02-2024

Stupendous Man

Topicstarter
DeTeraarist schreef op maandag 23 januari 2012 @ 09:50:
[...]
Ik zie in de changelogs van Shark007 dat hij netjes aangeeft welke nieuwe versies van codecs worden meegeleverd. Wat houd je tegen om zelf de changelogs er bij te halen?
De changelogs van de diverse bron-software die in de Shark007 codec packs wordt gebruikt en die in de Shark007 changelogs wordt vermeld, bedoel je?
Dat kan. Ik had dat kunnen doen, als ik graag een Shark007 codec pack had willen blijven gebruiken.
Maar de overgrote meerderheid van de Shark007 codec pack gebruikers moet hoogstwaarschijnlijk als 'gemaks gebruikers' worden beschouwd (anders kozen ze wellicht niet voor zo'n codec pack), het is daardoor volstrekt onrealistisch om te verwachten dat die gebruikers na elke Shark007 update (gemiddeld eens per week) steeds alle changelogs van de bron-software gaan checken op security patches.

Ik vind het de verantwoordelijkheid van Shark007 om in zijn changelogs aan te geven of updates al dan niet als security updates moeten worden beschouwd, dat is de normale gang van zaken bij het aanbieden van software, meen ik toch. Shark007 gaf echter aan daaraan niet te gaan voldoen, en geeft aan zich niets te kunnen voorstellen bij security updates voor codec software. Ook in een niet gerelateerde eerdere thread gaf Shark007 al aan niet te willen voldoen aan een verzoek om gedetailleerder changelogs.

Het meest zorgwekkend met Shark007 vind ik de combinatie van het ontkennen van enige noodzaak tot aandacht voor security met betrekking tot codecs, en het gebruiken van FFmpeg code, terwijl FFmpeg om de haverklap security patches doorvoert. In de Shark007 changelogs is niets te vinden over FFmpeg.
Juist die onverschilligheid van Shark007 maakt het wenselijk dat de gebruikers tenminste redelijk gemakkelijk zouden moeten kunnen nazien of updates als security patches zouden moeten worden beschouwd.
Ik herhaal wat ik eerder al aangaf: Ik zeg niet dat er iets mis is met de Shark007 software, maar ik denk dat de gebruikers meer informatie nodig hebben over de vraag of de beveiligingsupdates die zijn geïmplementeerd in de bron-software ook geïntegreerd zijn in de Shark007 codec packs en of bepaalde Shark007 updates wellicht moeten worden beschouwd als beveiligingsupdates.
DeTeraarist schreef op maandag 23 januari 2012 @ 09:50:
[...]
Wat je echter niet weet is dat GOM Player net zo hard gebruik maakt van FFMpeg als dat Shark007 dat doet. Je denkt nu veilig te zijn met je player, maar dat ben je allerminst, sterker nog, bij GOM Player zijn ze zo achterbaks dat ze niet eens melden dat ze FFMpeg gebruiken, laat staan dat dat in hun changelogs wordt genoemd.
Inderdaad, GOM Player gebruikt FFmpeg code.
http://en.wikipedia.org/w...of_Copyright_Infringement
Wat ik echter als een belangrijk verschil met Shark007 zie, dat is dat Gretech Corporation niet glashard beweert dat security updates niet van toepassing zouden zijn op de GOM Player software.
In een bedrijf dat 'normaal' aandacht heeft voor security heb ik toch wat meer vertrouwen dan in een codec pack samensteller die de noodzaak tot aandacht voor security met betrekking tot codecs volstrekt ontkent, laat merken het allemaal maar als gezeur te beschouwen, en een poging tot discussie afkapt door de betreffende thread te sluiten.
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq