1月12日上午8:15之后,东北大连火车站的计算机操作系统发生故障,调度员的浏览器未加载火车时刻表详细信息。6个小时后,调度员又失去了从Web应用程序打印火车数据的功能,工作人员在微博上小小地吐槽了一下。“罪魁祸首”似乎是互联网上的一次令人遗憾但并非不可预见的转变:Adobe Flash Player的停摆。
2020年结束,Adobe对其怀旧风格的多媒体平台的支持已完全结束。1月12日,Adobe采取了进一步措施,触发了它已经在Flash更新中分发了几个月的终止开关,阻止了内容在播放器中运行,从而使软件无法运行。
事情不算太突然,该公司多年来一直在警告过渡期的用户,来自Adobe的官方声明这样提醒:“Flash Player 于2020年12月31日停止支持。”Adobe已徹底停止Flash的技术支持,而在2021年1月12日后,还将阻止Flash Player播放Flash内容,并建议所有用户尽快卸载Flash以保护计算机安全。Flash“退役”意味着,早期基于Flash开发的众多内容如游戏、网站、视频等,都将彻底消失并逐渐被遗忘。
部分学校的网站还在使用Flash
但是2021年1月22日,Adobe官方微博又补充,称“根据Adobe和重庆重橙网络科技有限公司的战略合作,自2021年起,重橙网络将继续长期支持Flash Player在中国大陆地区的独家发行与维护工作。Flash Player在中国大陆地区仍可继续正常使用,用户可前往Flash中国官网(flash.cn)下载最新版本的Flash Player”。
如此可见,和 Windows 7 一样,官方层面的“死亡宣判”并不意味着Flash就彻底被咔嚓了。由于国内相对特殊的互联网环境,想要彻底和 Flash 技术说拜拜可能还没有这么快,作为一项曾经相当普及的多媒体技术,Flash在一些尚未进行技术升级的政企网站、电视直播和企业内网业务培训等等页面中,都还有着相当高的出场率。
如何在这个后 Flash 时代继续使用这项“过时”的技术呢?有用户选择留在旧版或者使用国内浏览器。没错,如果你不在意新系统、新特性和浏览器的安全性,选择支持 Flash 的旧版操作系统和浏览器自然可以解决上述问题。
Adobe停止Flash的技术支持,世界各地的电脑系统中问题不断
操作系统这边,目前微软仅向 Windows 8.1 和 Windows 10 推送“删除 Flash 组件”更新,而已经停止支持的 Windows 7 并不在该更新的推送范围之内。
浏览器方面,只有采用 Chromium v88(Google主导开发的网页浏览器)以上版本(包含 v88)内核的浏览器不再支持 Flash,而只要低于该版本都可以继续加载Flash 组件。
相比国外各大浏览器厂商都紧跟 Chromium 上游版本,目前国内的各大浏览器的 Chromium 版本还停留在v80 之前。虽然从安全性以及新技术应用上稍显落后,但放在 Flash 支持上反而变成了一大优势。因此如果你主要用浏览器访问国内的网络服务,那么选择合适顺手的国产浏览器即可。
例如QQ浏览器最新的 Chromium 版本还停留在 v70,在安装时会询问是否安装 Flash,并且经过测试勾选 Flash 后会安装的版本其实就是国产特供版的 Flash(虽然看签名依旧是 Adobe),但好处是并不会像独立安装特供版 Flash 那样植入广告组件(独立安装中国特供版Flash Player会被系统安全软件直接拦截)。
这个方案的优势是完全不用折腾,尤其是适合浏览器主要用来访问国内互联网服务的朋友,而且几乎不存在浏览器或者使用习惯上的适应调整。当然如果你主力浏览器使用的是 Edge 或者 Chrome 的话,这个方案实际上为系统多安装了一款浏览器,并引入了潜在的浏览器广告弹窗等一系列隐私问题,同时也不适用于 macOS 用户(仅限 Windows 系统)。
让Flash彻底消失的口水仗中,业界最诟病的是其安全漏洞问题,之前的一份声明是这样陈述的:“Flash播放器是世界上最普遍、最广泛分布的软件之一,并且也因此成为了恶意黑客攻击的目标。我们正在积极努力提高Flash播放器的安全性,就像我们在此事中所做的一样,将致力于快速解决黑客所发现的问题。”
然而,无论Adobe公司对于Flash播放器的安全性有多积极多努力,似乎都是不够的。利用这些存在于浏览器中的漏洞推送恶意软件和勒索软件的代码包Exploit kits已经通过Flash感染了无数的网站,漏洞如此频繁在Flash中被发现,简直成了它的一大特色。
重橙网络成为Adobe在游戏领域的全球战略合作伙伴,使得中国大陆地区用户仍可以继续使用Flash Player提供的相关服务
Flash播放器对于攻击者来说是个非常有趣的攻击目标,因为它真的是无处不在,并且运行在所有的主流浏览器中。除了频繁爆出的Flash零日漏洞,许多终端用户仍在使用老版本的Flash插件,从而成为了漏洞利用代码作者们首选的利用软件。
因此,即便Adobe不断发布其Flash插件的安全新版本,也不能保证其用户会下载更新。就算Adobe能尽快解决这些麻烦,还会有更多的问题冒出来,就像打地鼠游戏一样没完没了。Flash插件虽曾带给用户无尽乐趣,但必将在人们对安全问题越来越重视的今天被用户所抛弃。
不少人对Flash退出历史舞台的态度还有些犹豫不决,但对安全专业人员来说,让Flash这种充满各种安全问题的插件退出历史舞台却是众望所归。防病毒软件制造商PC Matic的首席执行官罗伯·郑说:“数十年来,Flash一直是一个巨大的安全漏洞,整个网络的犯罪分子一直在利用使用该软件的人。”
好消息是随着Flash生命周期结束的临近和用户的流失,研究人员表示,攻击者逐渐减少了寻找和利用该软件中的新漏洞的兴趣。被黑客广泛滥用的最新Flash漏洞之一是2019年1月披露的内存漏洞,可以利用该漏洞控制目标设备。
反病毒公司Malw arebytes的威胁情报主管杰罗姆·塞盖拉说:“最近,漏洞利用工具包的作者开始逐渐摆脱Flash漏洞利用。”不过他指出,Flash Player插件之所以特别吸引人,是因为它与投放在线广告的广告商关系亲近。
威胁追踪公司Binary Defense Systems的首席执行官大衛·肯尼迪说:“即使Flash停止运行,它也会存在好几年。”“许多系统和应用程序仍在大量使用它,而更新这些系统和应用程序可能会非常昂贵,或者公司可能会基于Flash建立自定义应用程序。因此,在不接收更新或不经常检修的系统中,应用仍然存在。”
无论是遗留在永远在线的基础架构中的古老工业控制软件,还是物联网设备中历史悠久的网络协议,不再受支持且无法接收补丁的旧版软件都不可避免地会成为网络安全问题。比如微软的Windows XP拥有如此多的Bug,以至于该公司多次发布针对操作系统的关键补丁程序,在正式终止之后还支持了数年。
Q(周康):大部分电脑都在去年12月31日停止支持Flash Player,并禁止下载以及安装新的程序。但中国官方版本Flash有一部分还在使用,代理商重庆重橙将会继续支持Flash,能介绍一下停用Flash背后的原因吗?
A(山水科技软件工程师:张开灵):基于全球应用,Flash被停用,是因为由1996年开始普及的Flash本身设计上有难以补救的结构缺陷,再加上HTML 5 日渐普及,可以做到绝大部分Flash 可以做的事,但比Flash更快更安全,而且不用额外安装软件。Flash的开发公司,若花九牛二虎之力去补救Flash的缺陷,则既愚蠢又昂贵。因此,在三年前已经公布将有计划停用Flash。理论上,用户有足够时间改用HTML 5取代,故Flash停用后不需要冒险使用。
Q:不少网站仍然使用Flash程序,一旦有需要浏览Flash内容,又该怎样办?
A:在电脑上尽量不要处理任何涉及个人隐私或敏感的活动,除非一些必须使用到的服务,比如浏览Flash内容。因为新版操作系统会主动清除Flash程式,或阻止Flash程式执行,所以必须使用旧版操作系统。由于旧版操作系统使用重橙版本的程序,所以这部电脑并不适合做其他重要的操作,有漏洞风险。
Q:在彻底放弃使用Flash之后,在开放源码群体有人开发Flash的兼容播放程式,这会否成为解决Flash安全问题的折中方案?
A:开放源码群体的程序,没有解决Flash的先天缺陷。Flash的开发者采用如此“决绝手段”放弃整个Flash产品,有其安全考虑。除非开放源码群体出现一群绝顶高手,能找到彻底解决Flash先天问题的妙招,否则兼容程式不见得会是解决Flash问题的安全方案。而且,开放源码群体并未获得Flash开发公司提供技术资料,他们是用逆向工程方式写出播放程式,一定做不到百分之百兼容,其产品可能只能执行简单Flash程式或播放Flash片段,但一些相对复杂的操作,不一定能控制。因此,Flash的兼容程序未获得开放源码社群大力支持,是有技术上的原因。