Flash必死

注：原文发表于15年7月15日

安全性不高但用户众多的Adobe Flash近来又一次处在了风口浪尖。一些互联网最有话语权的用户在最近要求禁用Adobe Flash，但像Facebook、Firefox这样的互联网巨头仍然在使用Flash，那些怨言满满的用户也没有足够的能力实现Flash的全部禁用。

那么问题来了：你为什么想要这样做？

Flash是一个应当开放标准但封闭并且独占的网页多媒体播放器。这对于黑客来说简直就是一个福袋，同时也一次又一次将用户置于危险的处境。此外Flash运行时会占用大量后台，消耗电池电量，很多让我们厌烦的弹出式广告也是基于Flash制作的。

这周Flash又爆出多个漏洞，Facebook安全部门主管Alex Stamos建议Adobe公司对Flash设定一个死亡日期，不久后的周一晚上Mozilla禁用了所有内置于Firefox浏览器中的当前版本插件。就连Google也采取了限制措施：上个月Google宣布今后的Chrome版本将会“自动停止”对基于Flash的非网页核心体验元素的支持（比如视频广告）。

在互联网中反对Flash的从未消减过，甚至有一场“占领Flash”的运动，他们的目标是有力（但温和）的“让全世界的人们从他们的桌面浏览器中卸载Flash Player插件”。实际上自从初代iPhone发布的时候Flash就不受待见，“杀死Flash”的说法也就这样流行开来了。Steve Jobs在2010年四月写了一封著名的公开信，在信中他解释了为什么没有让Flash染指苹果的移动产品，并强调了对于公开、安全以及电池寿命的关注。

五年多之后，反对Flash的声音仍然没有减弱，Flash的安全问题也仍然是最为紧要和关键的问题。全世界最臭名昭著的安全公司之一Hacking Team的大量数据泄露了出来，这些数据中包括尚未被官方发现的Flash严重漏洞0day，Mozilla不得不将Firefox从Flash中隔离来保护用户安全。

当我们与Adobe联系了解关于安全漏洞和大量要求Flash消失的呼声的有关问题时，一位代表告诉我们公司已经解决了安全漏洞问题并且推送了补丁。这位代表也大致说了一下安全方面的问题：“Flash Player是世界上用户最多并且广泛使用的软件之一，这也让Flash成为许多黑客的目标。我们已经开展了相关工作，积极提高Flash Player的安全性，一旦发现问题我们会快速解决。”

然而Adobe对于Flash Player安全方面所做的工作并没有那么足够。最新发现的0day漏洞是折磨Flash多年的安全漏洞。黑客只需使用Exploit kits（一种常被黑客及网络罪犯用以植入其他恶意程式的工具套件）对Flash发动攻击就可以控制电脑，建立僵尸网络。

“Flash Player对于黑客来说是一个非常有趣的攻击目标，因为它真的是普遍存在并且几乎运行在所有主流的浏览器上，”互联网安全公司Malwarebytes的高级安全研究员Jér?me Segura这样说道。“许多用户终端仍然在使用老版本的Flash，这也解释了为什么排名第一的EK套件是基于Flash编写的。”这一点是非常批判的，Adobe Flash最新安全版本虽然发布了，但并不是所有用户都会去下载安装。

Adobe漏洞解决的越快，更多的漏洞又会冒出来。就像永远不会结束的打地鼠游戏一样，结局注定失败。

不过Segura在思考Flash是否应该完全消亡。“目前来看这是最有效也是最负责任的做法，”他说道，“但我认为这种做法可能不是长远之计。毕竟那些恶意的黑客们可以非常轻松地转向另一个新的目标。”

也不用太担心，你不用等着Adobe来拔下这个插头，你自己就可以做到。

如何把Flash给埋了

首先你要知道的第一件事：这是你可以完成的！事实上在你的手机上几乎肯定已经内置了Flash。正如我们所说，iOS在多年前就提供Flash相应的驱动，Android在2012年也开始提供相应的组件（Adobe AIR 的确可以允许开发者在开发iOS和Android应用中使用Flash，我们所谈论的是比这更为盛行的在两个平台上都被取消的Flash Player插件）。

在iPhone刚上市的时候没有Flash的确挺让人烦恼。有些网站不能加载，有些视频不能播放。然而在今天如果一个Adobe组件丢失的话你更可能会遇到一只会说话的狗。（小编注：说的是HTML5吗……）

当然现在仍然还有许多在坚持使用Flash Player的，比如许多休闲游戏，亚马逊的即时视频（至少在Chrome上是这样，在Firefox，Safari和IE上使用的是Silverlight）和大量的弹出视频广告。尽管它们是互联网产物，但如果不是经常访问的话几乎不会引起人们的注意，甚至它们消失了你都还不知道。

好了不说废话了，准备好了吗，我们开始把浏览器上的Flash插件屏蔽吧。

Chrome：在地址栏中输入“chrome://plugins”（不含双引号），找到Adobe Flash Player，点击停用。

Firefox：点击右上角的三明治图标，选择“附加组件”，点击页面左侧“插件”，找到Shockwave Flash，在右侧下拉框中选择“总不激活”。

感觉怎么样？应该还不错吧！Segura其实说的没错，Flash并不是唯一一个受到特别多的攻击的软件，如果Flash真的完全消失的话，我们不得不对其他软件重新提高警惕（说的就是你，Java）。

与此同时，如果你开始怀念Flash的话随时都可以重新安装，至少在Flash被完全取代以及其他应用语言有了自己的方向之前。

-----

原文：Flash Must Die|WIRED(http://www.wired.com/2015/07/adobe-flash-player-die/)

作者：BRIAN BARRETT

优设翻译：Eric

【优设投稿：2650232288@qq.com】