Adobe Flash——这个既不安全、却又无处不在、说起来让每个人都恨得牙根直痒的家伙,因黑客团队(Hacking Team)被黑事件再一次遭到了互联网的狙击,并且有望是最后一次。最新呼吁让Flash退出历史舞台的是一些包括Facebook(非死不可)、火狐等在内的互联网超级巨头,如果这么庞大的阵容再加上大量的不满用户还不能把这个顽固的家伙放倒在地的话,那我们得想想办法怎么把他干掉了。

flash为什么停止(Flash必须死)(1)

为什么Flash非死不可?

因为随着互联网的不断发展,开放已经成为了互联网的标准和趋势,而Flash却固步自封,做互联网上的专有系统。然而不幸的是,却成了最受欢迎的黑客利用目标,一遍又一遍地将其用户推向风险的边缘。不仅如此,Flash还大量吞噬系统资源、增加耗电,结果往往是发现其在推送用户不想看到的弹出式广告。

随着新发现的Flash漏洞的爆出,刚刚从雅虎跳槽到Facebook的出任首席安全官的亚历克斯·史丹默斯呼吁结束Flash的生命周期。与此同时,Mozilla也在某个周一深夜将所有当前版本火狐浏览器的Flash插件设置为默认禁用。甚至谷歌也在限制Flash的影响,早在上个月就宣布将在未来版本的谷歌Chrome浏览器中“智能暂停”不属于本站核心体验的基于Flash的内容,如视频广告等。

然而,这并不意味着Flash就真的走到穷途末路了。在一些浏览器中,Facebook仍然在使用Flash播放视频,而火狐在上周二发布的安全更新中又重新引入了Flash支持。虽然如此,但有一点是明确的,那就是:Flash所带来的麻烦已经确确实实超过了它的价值,并且这种情况已经持续了相当长的时间了。

一直以来,就有一股反Flash的力量在互联网上暗潮汹涌着,甚至有个“占领Flash”运动,其伟大的目标就是“让全世界的桌面浏览器都卸载Flash Player插件”。事实上,自从Flash在最初的iPhone上被列为不受欢迎的软件开始,干掉Flash已经成为大势所趋。2010年4月,苹果公司当时的掌门人乔布斯发布了一封著名的公开信,解释他为什么不让Flash接近苹果的移动产品,信中他强调了对开放性、安全性的担忧以及Flash对电池寿命的影响。

五年多过去了,针对Flash的境况基本上没有什么变化,并且安全问题已经成了最迫切和最重要的问题。新发现的导致火狐对Flash进行隔离的关键漏洞已经是一周内连续发现的第三个问题了,说到底,还得感谢备受争议的间谍软件厂商黑客团队(Hacking Team)的这次被黑事件。

在业界大声诟病这些安全漏洞并呼吁让Flash彻底消失的浪潮中,Adobe公司发布一份声明:该公司已经对相关问题进行了解决,并发布了相关更新。对于其安全问题,声明中是这样陈述的:

“Flash播放器是世界上最普遍、最广泛分布的软件之一,并且也因此成为了恶意黑客攻击的目标。我们正在积极努力提高Flash播放器的安全性,就像我们在此事中所做的一样,将致力于快速解决黑客所发现的问题。”

然而,无论Adobe公司对于Flash播放器的安全性有多积极多努力,似乎都是不够的。Hacking Team事件的躺枪也不过是因为最近一系列困扰Flash多年的安全漏洞。利用这些存在于浏览器中的漏洞推送恶意软件和勒索软件的代码包Exploit kits已经通过Flash感染了无数的网站。而零日漏洞如此频繁在Flash中被发现,简直成了它的一大特色。

Flash播放器对于攻击者来说是个非常有趣的攻击目标,因为它真的是无处不在,并且运行在所有的主流浏览器中。除了频繁爆出的Flash零日漏洞,许多终端用户仍在使用老版本的Flash插件,从而成为了漏洞利用代码作者们首选的利用软件。

因此,即便Adobe发布了其Flash插件的安全新版本,但却不能保证其用户会下载更新。就算Adobe能尽快解决这些麻烦,还会有更多的问题冒出来,就像打地鼠游戏一样没完没了。Flash插件虽曾带给用户无尽乐趣,但必将在人们对安全问题越来越重视的今天被用户所抛弃。

不少人对Flash退出历史舞台的态度还有些犹豫不决,但对安全专业人员来说,让Flash这种充满各种安全问题的插件退出历史舞台却是众望所归。不过,这也难免是一种敌视的想法。毕竟,黑客要转移到新的攻击目标是件轻而易举的事情。

所幸我们不必非要等到Adobe自己完蛋,也完全可以让Flash滚出我们的电脑。

如何让Flash非死不可?

首先,你完全可以做到。事实上,你十有八九已经做到了,就在你的手机上。我们说过,苹果iOS早在多年前就已经把Flash给踢出去了,而且2012年安卓也效仿苹果干掉了Flash。

在早期的iPhone中,没有Flash确实让人有那么一点点的不爽。因为一些网站无法加载,一些视频无法播放。但是今天,你已经很少会遇到因缺少Flash插件而无法加载这样的问题了。同时,在桌面电脑上这种情况也越来越少,这在很大程度上要归功于HTML5的稳步推进。

HTML5一种被广泛接受的视频开放标准,截止今年一月,YouTube已经默认加载HTML页面,在线影片租赁网站Netflix在很早之前就已经采用微软的Silverlight解决方案了。。网络游戏也做出了小小的让步,专业3D网页游戏引擎优美缔(Unity)也在2013年宣布放弃Flash平台。

当然,仍然还有大量的Flash播放器的拥趸者。很多的休闲小游戏,很多很多的弹出视频广告都还在使用Flash播放器插件,亚马逊即时视频虽然在火狐、Safari和IE中采用了微软的Silverlight解决方案,但在谷歌Chrome浏览器中仍需Flash插件,包括国内的许多视频网站,如优酷、土豆等。 如果你不是这些视频的拥趸,或已经不大用PC来观看这些flash视频,下面的操作可以让你永远不再受Flash安全问题的威胁:

谷歌Chrome浏览器:在搜索栏中搜索Chrome://plugins,向下滚动找到Adobe Flash Player,点击“禁用”。

苹果Safari浏览器:进入Safari > 参数,点击“安全”,点击“管理网站设置”,点击Adobe Flash Player,进入访问其他网站时,点击“屏蔽”。

Mozilla火狐浏览器:点击右上角的三层汉堡图标,点击“插件”,然后单击左栏的插件,向下拉找到Shockwave Flash,并点击“永不启用”。

微软IE浏览器:点击右上角的齿轮图标,点击“Internet选项”,点击“程序”,点击“管理加载项”,点击“Shockwave Flash Clien”,点击右下角的“禁用”。

搞定!你也可以通过以上指引在苹果电脑和Windows中完全卸载Flash,你会发现,通过这样对浏览器进行解剖式的整理,将为你节省大量的时间,减少很多的麻烦。

当然,Flash不会是惟一的漏洞利用软件,即使它彻底消失了,你也将发现有新的可供利用的软件出现,比如,Java。

与此同时,如果不幸你发现自己非常怀念拥有Flash的日子,你同样可以随时把它找回来,至少在“占领Flash”运动及其小伙伴们取得决定性胜利之前。

,