BIG NEWS!! All versions of Flash are blocked by default in Firefox as of now. https://t.co/4SjVoqKPrR #tech #infosec pic.twitter.com/VRws3L0CBW
— Mark Schmidt (@MarkSchmidty) 14 июля 2015Немногим позднее он объяснил свою точку зрения более подробно. По его словам, такое поведение браузера будет длиться до тех пор, пока инженеры Adobe не исправят все известные эксплойты Flash:
To be clear, Flash is only blocked until Adobe releases a version which isn't being actively exploited by publicly known vulnerabilities.
— Mark Schmidt (@MarkSchmidty) 14 июля 2015До этого момента все желающие скачать соответствующий плагин увидят сообщение, что «Flash Player Plugin 18.0.0.203 (click-to-play) был заблокирован для вашей защиты». Другими словами, скачать его больше из Mozilla Addons пока что будет невозможно.
Картинка, которую Шмидт использовал в своём твите, это — отсылка к общественному движению Occupy Flash, которое приобрело известность в 2011 году. Его участники полагают, что «Flash Player мёртв. Его время ушло. Он полон ошибок. Он постоянно падает. Ему нужны постоянные обновления безопасности», призывают бороться с ним путём его удаления с компьютера и даже составили Манифест движения. У инициативы Occupy Flash есть версия сайта на русском языке.
Похожим образом, однако из других соображений и менее агрессивно, инженеры Google Chrome ограничили воспроизведение Flash-контента в своём браузере. Бета-версия Chrome отныне будет блокировать «ненужную» flash-анимацию на веб-странице, удаляя что-то вроде рекламных баннеров и стараясь не затрагивать «главный» контент, такой как видеоролики.
Двумя днями ранее недавно назначенный на должность главы службы безопасности Facebook Алекс Стамос просто посоветовал Adobe убить Flash:
It is time for Adobe to announce the end-of-life date for Flash and to ask the browsers to set killbits on the same day.
— Alex Stamos (@alexstamos) 12 июля 2015Совсем недавно Adobe выпустила очередное обновление безопасности, которое устраняло уязвимость, позволяющую удалённо исполнять код в различных браузерах и обходить режим песочницы Flash. Проблема затрагивала практически все платформы — Windows, Linux, OS X — и была обнаружена в архиве с утекшими данными кибергруппы Hacking Team. Сообщалось, что она специализировалась на разработке и продаже шпионского программного обеспечения для правоохранительных органов и государств. В результате утечки стал доступен большой архив в 400 Гб, который сам, однако, содержал эксплойт для Flash.
Комментарии (87)
Valdei
14.07.2015 11:40Надеюсь, что ластфм и дизер к такому развитию событий готовы… и что им не пофиг.
Вчера вечером музыку с бубном запускал, и что-то мне это не понравилось. Флэш постоянно падал.
Revertis
14.07.2015 13:02+11Пользуюсь блокировщиком рекламы, флэш упал за несколько лет только сегодня утром на siliconrus — реклама какая-то не заблочилась.
Вывод — блокировщик рекламы плюс выполнение плагинов по запросу и никаких проблем.
saga111a
14.07.2015 16:53Точно также, очень редко падает. Выполнение плагинов по запросу еще со времен медленного интернета и загрузки изображений «по запросу» стоит.
immaculate
14.07.2015 13:58-2Странно, что facebook за отмену flash, но при этом не предоставляет никаких альтернатив: на сайте facebook видео отображается только в формате flash и никак иначе…
Yanzay
14.07.2015 14:19+4Может у вас настройка какая выставлена? Или браузер старый? У меня в Chrome показывает HTML5 Video.
stardust_kid
14.07.2015 17:58В Firefox, подтверждаю.
fundorin
14.07.2015 23:55+1Весьма странный шаг со стороны Mozilla. Ладно бы контент в HTML5 нормально проигрывался. Так нет. Зависания, как отдельно видео, так и звука. Черный экран и прочие проблемы. Проверял как установкой чистой Авроры на основной системе, так и Firefox в виртуалке. Так что, лучше бы им не рыпаться, пока не исправят проблемы с html5. Судя по обсуждениям на официальном форуме, эти проблемы присутствуют вовсе не у меня одного.
Ogi
15.07.2015 10:48+1Логика прямо как у наших законодателей. Проблема: мы не можем сделать HTML5 достойной заменой Flash. Решение: запретить Flash.
vsb
14.07.2015 14:28У меня нет флеша, и я смотрю видео на фейсбуке. Safari.
immaculate
14.07.2015 14:35+2Я где-то 2-3 месяца назад смотрел в Firefox. Перерыл все настройки facebook, так и не смог заставить его показывать видео в HTML5. Может быть, за эти 2-3 месяца все изменилось, конечно.
navion
14.07.2015 17:19+2Или там используется H.264, кодек для которого лишь недавно добавили в Firefox.
rstepanov
14.07.2015 14:52+23Давайте еще Java туда же… Убогое кривое говно, не совместимое само с собой. Минусы сюда, да.
TheRabbitFlash
14.07.2015 15:21+11Давайте еще и iOS туда. По данным Symantec за прошлый год ровно 84% всех проблем безопасности в мобильных телефонах пришлись на iOS.
egor_masalitin
14.07.2015 16:01-7При чем сейчас мобильная платформа к реальным проблемам в Flash для браузеров?
TheRabbitFlash
14.07.2015 16:02+8А причем тут Java?
egor_masalitin
14.07.2015 16:11При том, что Java приложения можно выполнять непосредственно в браузере. Пример — загрузка музыки на недавно закрытый groveshark.
TheRabbitFlash
14.07.2015 16:13+1Вы спросили конкретно «к реальным проблемам в Flash». Я задал конкретный вопрос. Причем тут Java к Flash?
Мы можем поступить проще. Либо выполняйте свои требования в переписке сами, либо не мешайте другим писать то, что не нарушает правила.
lexore
14.07.2015 19:24Ну, java в браузере не так распространена и она не ставится по умолчанию (хотя flash тоже не ставится).
java, скорее, из разряда «ставишь сам под свою ответственность».
Собственно в этот же разряд должен когда-то перейти и flash.
Нужна работа со старым сайтом, где все на flash? Ставишь flash и включаешь его только для этого сайта.
Vilgelm
14.07.2015 17:01+1Не надо. Множество государственного (СУФД, например) и коммерческого (банк-клиенты) софта работают на Java, порой только определенных версий. FF и так блокирует старые версии Java даже на включенных в исключения ресурсах (нужно попрыгать с бубном, что бы он заработал, однако предупреждение все равно выскакивает и пользователей это раздражает). Переписывать этот софт абсолютно точно никто не будет, а гимору добавится неимоверно.
Все такие блокировки должны легко отключаться, по крайней мере для доверенных ресурсов, иначе это осложняет жизнь пользователю.rstepanov
14.07.2015 17:09+5Я этот геморрой и так уже имею по полной программе. В связи со спецификой деятельности мы обязаны использовать только последние версии всего ПО, включая виртуальные машины Java. Но так как куча оборудования (например, серверы HP) имеет управляющее ПО на Java (тот же iLO), а используется часто лет по пять и более, ситуация, когда в последнем браузере на последней JVM ничего не работает, возникает практически ежедневно. Единственный способ заставить это говнище работать — поставить старую JVM рядом с новой, и для каждой железки явно указывать какую именно JVM нужно использовать. А так как это нарушение принятых в компании политик безопасности — каждое такое исключение из правил нужно отдельно и подробно документировать на каждом внешнем аудите.
Vilgelm
14.07.2015 17:48Тогда ее принудительная блокировка только добавит новых проблем. Конечно, крупные вендоры в случае массового отказа от Java со временем перепишут ПО на чем-нибудь другом, но вот банки, казначейство и так далее этим заниматься явно не будут (до сих пор встречаю сервисы, которые требуют IE 8 и ActiveX).
Опять же: вся работа с ЭЦП (Крипто-ПРО) в браузере обычно основана на Java.
ainu
14.07.2015 17:32+1Отключение явы это не будущее, это уже настоящее и прошлое. Уже случилось, уже проехали.
Vilgelm
14.07.2015 17:51+2FF не блокирует Java по-умолчанию вроде бы, только Chrome. Но Chrome абсолютно не подходит для работы с большинством систем интернет-банкинга (юрлица), систем документооборота, сдачи отчетности, работы с закрытой частью официальных порталов и так далее. Поэтому приходится использовать Firefox или IE. Не хотелось бы, что бы Firefox пошел по пути Chrome.
vanxant
14.07.2015 23:04У меня Java отключен в фф стопицот лет как. В какой-то момент видимо автоматом заблокировалось с требованием обновить версию, я забил и не знаю проблем.
Vilgelm
15.07.2015 02:11+1У меня на домашнем компьютере тоже (хотя иногда приходится про нее вспоминать, например при попытке просмотра видео через браузер с китайского регистратора или веб-камеры). Но на рабочих Java используется постоянно (в основном в СУФД, там без нее никак, причем должна стоять определенная древняя версия).
erimeev
14.07.2015 15:35Наконец-то!
Давайте составим список сайтов, которые все еще медленно работают в этом направлении и начиная с сегодняшнего дня им придется работать за все предыдущие годы. Список можно начинать с Амедиатеки.
gro
14.07.2015 16:23-11Потеряет фф ещё несколько процентов из своего уже и так не такого внушительного количество пользователей.
Maccimo
14.07.2015 16:35Желтизна какая-то и намеренное введение читателей в заблуждение, а не статья.
18.0.0.203 блокируется, 18.0.0.209 — не блокируется и речи о блокировке всех версий даже и не идёт.
Вы бы хотя бы по ссылке из цитируемого твита сходили перед тем, как на вентилятор набрасывать.
SelenIT2
14.07.2015 16:42Однако www.mozilla.org/ru/plugincheck упорно пишет: «All versions of Adobe’s Flash Player plugin are currently vulnerable.» Кому верить?
fzn7
14.07.2015 16:53-22Нет, серьезно, какие преимущества у FF над хромом? Он же застрял в 2006м
Vilgelm
14.07.2015 17:04+10Жрет меньше памяти, свои настройки proxy, а не системные.
iHun
15.07.2015 00:11+3Кстати, помню, как всего несколько лет назад большинство на хабре ратовало за переход на Chrome именно по той причине, что он жрёт меньше памяти (шутки про «наглую рыжую морду» — помните?)). Интересно наблюдать за изменением общественного мнения
P.S. у меня хром для развлечений, огнелис для работы.Vilgelm
15.07.2015 02:08Несколько лет назад он и жрал меньше памяти. Сейчас это что-то невероятное (что в FF, что в Chrome). Десяток (ну может полтора десятка) вкладок сжирают почти 6 GB оперативы, куда это годится.
Но FF все таки поэкономичнее.
Bronx
15.07.2015 09:08У меня в FF около ~200 вкладок, постоянно загружено около 50, память — 1.6G. ЧЯДНТ?
dunmaksim
15.07.2015 09:29+1Картинки включите, поставьте AdBlock и ещё 87 дополнений.
Ik0l
15.07.2015 10:36+1А кому вообще в здравом уме может понадобиться 87 дополнений? У меня в огнелисе всё время около 100 вкладок, загружено 30-50. Штук 5 дополнений. Потребление памяти 500-800 Мб и один процесс в диспетчере задач. Может я тоже что-то делаю не так?
dunmaksim
15.07.2015 11:02Я и говорю — Вы всё делаете неправильно: дополнений всего 5 штук, а нужно больше. Вот как поставите, так и будет Вам счастье и 6 Гб RAM сожрано 6-ю вкладками.
olegkrasnov
15.07.2015 16:5730 расширений, 20 вкладок, потребление памяти – 825 мб, FF 39, OS X. Вместо Adblock — ?Block. Может под виндой лиса больше памяти жрёт?
Kalobok
14.07.2015 18:40+2У меня, например, с хромом несколько проблем, которые решены в ФФ:
— Уже упомянутые системные настройки прокси, что мне неудобно (долго объяснять, почему).
— Невозможность переключения между двумя последними табами по Ctrl+Tab.
— В целом странная работа с табами — иногда открывает новый слева от уже открытых, иногда справа. Логику я так и не сумел понять.
— Пожалуй, главное — нет нормальной поддержки гуглозакладок. Казалось бы, в собственный браузер стоило бы встроить нормальную синхронизацию и отображение. Но нет. В ФФ это решается через аддоны. Не идеальные, но лучше, чем ничего. В хроме подобные аддоны тоже есть, но настолько убогие, что непригодны к использованию.
Athari
14.07.2015 19:27+5У меня только две причины:
- Невменяемое потребление памяти Хромом. Много вкладок, бездонные страницы, гифки(!) — всё приводит к бесконечным падениям, утечкам и прочему трэшу. И это у меня 16 гигов рамы, что среднестатистически дофига. ФФ тоже не блещет, но спокойно держит 1000 неактивных вкладок и 100 активных. Опера, интернет ей пухом, не падала при нехватке памяти вообще, в принципе, хотя и жрала память только так.
- Ненастраиваемость. В ФФ есть 100500 настроек и 100500 возможностей для издевательства над браузером расширениями. В Хроме ни того, ни другого, всё урезано и отуплено. У Оперы были только 100500 настроек, без полноценных расширений, она была посередине.
Если проблема с памятью рано или поздно решится (я могу поставить 32 гига), то проблема настраиваемости и расширяемости не решается в принципе, пока браузером заправляет Гугл в теперешнем его виде.
Скорость загрузки, скорость работы жабоскрипта, качество отрисовки ACID и прочие метрики давно ушли в прошлое и неактуальны. Ну да, Хром не рисует фон у TR, у других браузеров другие заморочки, но в 99% случаев это всё пофиг.- Невменяемое потребление памяти Хромом. Много вкладок, бездонные страницы, гифки(!) — всё приводит к бесконечным падениям, утечкам и прочему трэшу. И это у меня 16 гигов рамы, что среднестатистически дофига. ФФ тоже не блещет, но спокойно держит 1000 неактивных вкладок и 100 активных. Опера, интернет ей пухом, не падала при нехватке памяти вообще, в принципе, хотя и жрала память только так.
Ubuntovod
14.07.2015 19:30Киллер-фича FF для меня как обычного юзера стоит в панели вкладок при полноэкранном режиме.
Для хрома даже плагинов адекватных (для себя) не нашлось.fundorin
15.07.2015 00:02Аддон Toolbar Autohide для FF ещё и позволяет настраивать поведение и отображение панелей в полноэкранном режиме.
olegkrasnov
14.07.2015 19:50+2Это спорный вопрос, кто в чём застрял. Частный случай: caniuse.com/#feat=css-hyphens
По крайней мере под маком FF настраивается гибче, проц греет меньше.
iHun
15.07.2015 00:04+3Три слова: Tree Style Tab
Chmyaf
15.07.2015 09:15Не подскажете, как в этом расширении можно сделать прокрутку кладок скроллингом без нажатия Shift?
iHun
15.07.2015 09:46Именно в этом не знаю, но вообще для таких целей у меня стоит Tab Wheel Scroll. Насколько я помню, с tree style tab оно работает.
SelenIT2
16.07.2015 17:58Буквально сегодня что узнал еще одну новую киллер-фичу: возможность снять скриншот целой страницы одной кнопкой в девтулзах.
xiWera
14.07.2015 19:04Для эдоби, видимо, флэш давно не приоритет. Переписывать они его не собираются при этом откровенно сознаются, что он полон «легаси» кода. Поэтому песочница и постоянные фиксы.
solver
15.07.2015 01:14Вот это вот и удивляет.
Есть-то каких-то десяток мегабайт бинарника. Это же не винду или ядро линуха с нуля переписать.
Да и времени у них было несколько лет.
Как только WebGL вылезет из детских штанишек, флешу ничего не поможет…
Правда, судя по всему, флешу еще несколько лет переживать нечего))Maccimo
15.07.2015 02:07+4>> Вот это вот и удивляет.
И что же вас удивляет?
Десяток мегабайт бинарника это сотни мегабайт исходников и миллионы строк кода.
Возьмём тот же Firefox, в установленном виде он занимает около 100 мегабайтов, а исходников у него под гигабайт, а то и больше. Количество SLOC можете посчитать на досуге.
Всерьёз верить в то, что переписывание с нуля уменьшит количество багов, а не увеличит их на пару порядков может разве что студент, реальных долгоживущих проектов не нюхавший.
>> Как только WebGL вылезет из детских штанишек, флешу ничего не поможет…
За последние 15 лет «убийц флеша» попередохло не счесть сколько, а он всё ещё шевелится.solver
15.07.2015 10:15Удивляет подход.
Вы не поняли, а разработчик бы понял, что не надо копировать код.
Не надо копипастить все эти мегабайты кода. Это тупо. Не в этом смысл.
Надо его переписать. Переосмыслить.
Там же легаси кода дофига. А с момента начала разработки этого плагина прошло дофига лет.
Технологии развиваются. Я больше чем уверен, что с использованием современных технологий можно его переписать с меньшим количеством кода и более эффективно. Было бы желание сделать хоршо, а не как всегда.
>>За последние 15 лет «убийц флеша» попередохло не счесть сколько, а он всё ещё шевелится.
Ну т.е. вы просто не осилили последнюю сточку моего камента? ))
fshp
14.07.2015 22:24Chromium + pepper flash. Я даже не могу вспомнить, когда имел проблемы с флешем. Года 2 точно не было ни одного падения.
Beholder
15.07.2015 11:27Видео-то ладно, а вот почему супермодный GitHub использует Flash на своих страницах? По крайней мере, в кнопках для копирования URL — может он это на HTML5+JS делать?
a553
15.07.2015 11:36В браузерах нет API для работы с буфером копирования.
А вот почему ВК до сих пор музыку флешем играет для меня загадка.Beholder
15.07.2015 11:50+2И что тогда будет после возможного полного отключения флеша? Только ручками?
a553
15.07.2015 11:51+3Хром выдумает API, браузеры его повторят со своими префиксами, потом это дело внесут в стандарт. К 2022-му сможете копировать через HTML7!
trikadin
17.07.2015 12:39Вообще-то, что в хроме, что в Firefox-е есть уже апи для копирования текста в буфер обмена…
a553
17.07.2015 13:15То, что есть в Chrome, неприменимо в реальной жизни.
trikadin
17.07.2015 17:09Аргументация будет? По-моему, вполне применимо.
codepen.io/anon/pen/JdBJbWa553
17.07.2015 17:18Забавный трюк. У меня, правда, не работает почему-то.
trikadin
17.07.2015 17:20Из-под хрома пробовали? Если через лису, то там и у меня не сработало :)
a553
17.07.2015 18:52В Firefox у меня как раз заработало, если поменять
inputнаdiv contenteditable. Хром выделяет текст, но не копирует.trikadin
17.07.2015 20:07Забавно. А версия и ось какая?
В общем, да, пока эта фигня не совсем кроссбраузерная, но после обработки напильником (наращивания кроссбраузерной оболочки) использоваться, в общем-то, может. Через полгодика можно будет использовать везде — в осле, если мне не изменяет память, document.execCommand('copy') есть версии с десятой.
Athari
15.07.2015 20:49Как и везде, будет попапчик с полем ввода и выделенным текстом. Типа, «Нажми Ctrl+C сам».
Xfrid
15.07.2015 22:20Хорошая новость. Сколько лет уже интернет находится в зависимости от одной когда-то написанной программы, у которой нет ни исходников, ни альтернатив.
xHR
Только за сегодня флеш в лисе упал трижды.
Tonna
У меня на свежей xubuntu вчера падал раз двадцать :(
Дальше могу только матом.
Ubuntovod
За последний месяц ни одного падения Flash не словил.
Нет флэша — нет проблемы.
Iceg
За последний месяц ни одного падения Flash не словил, фф сам по себе падает раз пару дней.
TheRabbitFlash
У меня Firefox вылетает даже с выключенным флеш плеером. Причина кроется в вирт машине, которая выполняет JS код.
Скриншот типичной ошибки выполнения JS кода pbs.twimg.com/media/CJ9guR7VEAUSaKK.jpg
Тут как повезет. Либо лиса валится целиком, либо вываливается вот такое окно. Главное условие — код на JS должен быть не на 5 строк и должен нести нагрузку на сеть и на проц.
Lertmind
Можно было поставить старую версию, которая не падает. Но уже вышло обновление 18.0.0.209, убрали ли все дыры — не знаю, но уже не падает как раньше.
navion
С отключенной песочницей он работает на порядок стабильней, но проблема безопасности становится острее.