Flash必死
注:原文发表于15年7月15日 安全性不高但用户众多的Adobe Flash近来又一次处在了风口浪尖。一些互联网最有话语权的用户在最近要求禁用Adobe Flash,但像Facebook、Firefox这样的互联网巨头仍然在使用Flash,那些怨言满满的用户也没有足够的能力实现Flash的全部禁用。 那么问题来了:你为什么想要这样做? Flash是一个应当开放标准但封闭并且独占的网页多媒体播放器。这对于黑客来说简直就是一个福袋,同时也一次又一次将用户置于危险的处境。此外Flash运行时会占用大量后台,消耗电池电量,很多让我们厌烦的弹出式广告也是基于Flash制作的。 这周Flash又爆出多个漏洞,Facebook安全部门主管Alex Stamos建议Adobe公司对Flash设定一个死亡日期,不久后的周一晚上Mozilla禁用了所有内置于Firefox浏览器中的当前版本插件。就连Google也采取了限制措施:上个月Google宣布今后的Chrome版本将会“自动停止”对基于Flash的非网页核心体验元素的支持(比如视频广告)。 在互联网中反对Flash的从未消减过,甚至有一场“占领Flash”的运动,他们的目标是有力(但温和)的“让全世界的人们从他们的桌面浏览器中卸载Flash Player插件”。实际上自从初代iPhone发布的时候Flash就不受待见,“杀死Flash”的说法也就这样流行开来了。Steve Jobs在2010年四月写了一封著名的公开信,在信中他解释了为什么没有让Flash染指苹果的移动产品,并强调了对于公开、安全以及电池寿命的关注。 五年多之后,反对Flash的声音仍然没有减弱,Flash的安全问题也仍然是最为紧要和关键的问题。全世界最臭名昭著的安全公司之一Hacking Team的大量数据泄露了出来,这些数据中包括尚未被官方发现的Flash严重漏洞0day,Mozilla不得不将Firefox从Flash中隔离来保护用户安全。 当我们与Adobe联系了解关于安全漏洞和大量要求Flash消失的呼声的有关问题时,一位代表告诉我们公司已经解决了安全漏洞问题并且推送了补丁。这位代表也大致说了一下安全方面的问题:“Flash Player是世界上用户最多并且广泛使用的软件之一,这也让Flash成为许多黑客的目标。我们已经开展了相关工作,积极提高Flash Player的安全性,一旦发现问题我们会快速解决。” 然而Adobe对于Flash Player安全方面所做的工作并没有那么足够。最新发现的0day漏洞是折磨Flash多年的安全漏洞。黑客只需使用Exploit kits(一种常被黑客及网络罪犯用以植入其他恶意程式的工具套件)对Flash发动攻击就可以控制电脑,建立僵尸网络。 “Flash Player对于黑客来说是一个非常有趣的攻击目标,因为它真的是普遍存在并且几乎运行在所有主流的浏览器上,”互联网安全公司Malwarebytes的高级安全研究员Jér?me Segura这样说道。“许多用户终端仍然在使用老版本的Flash,这也解释了为什么排名第一的EK套件是基于Flash编写的。”这一点是非常批判的,Adobe Flash最新安全版本虽然发布了,但并不是所有用户都会去下载安装。 Adobe漏洞解决的越快,更多的漏洞又会冒出来。就像永远不会结束的打地鼠游戏一样,结局注定失败。 不过Segura在思考Flash是否应该完全消亡。“目前来看这是最有效也是最负责任的做法,”他说道,“但我认为这种做法可能不是长远之计。毕竟那些恶意的黑客们可以非常轻松地转向另一个新的目标。” 也不用太担心,你不用等着Adobe来拔下这个插头,你自己就可以做到。 如何把Flash给埋了 首先你要知道的第一件事:这是你可以完成的!事实上在你的手机上几乎肯定已经内置了Flash。正如我们所说,iOS在多年前就提供Flash相应的驱动,Android在2012年也开始提供相应的组件(Adobe AIR 的确可以允许开发者在开发iOS和Android应用中使用Flash,我们所谈论的是比这更为盛行的在两个平台上都被取消的Flash Player插件)。 在iPhone刚上市的时候没有Flash的确挺让人烦恼。有些网站不能加载,有些视频不能播放。然而在今天如果一个Adobe组件丢失的话你更可能会遇到一只会说话的狗。(小编注:说的是HTML5吗……) 当然现在仍然还有许多在坚持使用Flash Player的,比如许多休闲游戏,亚马逊的即时视频(至少在Chrome上是这样,在Firefox,Safari和IE上使用的是Silverlight)和大量的弹出视频广告。尽管它们是互联网产物,但如果不是经常访问的话几乎不会引起人们的注意,甚至它们消失了你都还不知道。 好了不说废话了,准备好了吗,我们开始把浏览器上的Flash插件屏蔽吧。 Chrome:在地址栏中输入“chrome://plugins”(不含双引号),找到Adobe Flash Player,点击停用。 Firefox:点击右上角的三明治图标,选择“附加组件”,点击页面左侧“插件”,找到Shockwave Flash,在右侧下拉框中选择“总不激活”。 感觉怎么样?应该还不错吧!Segura其实说的没错,Flash并不是唯一一个受到特别多的攻击的软件,如果Flash真的完全消失的话,我们不得不对其他软件重新提高警惕(说的就是你,Java)。 与此同时,如果你开始怀念Flash的话随时都可以重新安装,至少在Flash被完全取代以及其他应用语言有了自己的方向之前。 ----- 原文:Flash Must Die|WIRED(http://www.wired.com/2015/07/adobe-flash-player-die/) 作者:BRIAN BARRETT 优设翻译:Eric 【优设投稿:2650232288@qq.com】 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |