Наступило 12 января 2021 года и в Adobe Flash Player сработала таймбомба. При нажатии на картинку перебрасывает на https://www.adobe.com/products/flashplayer/end-of-life.html
На картинке старый интерфейс онлайн-библиотеки. Особая пикантность ситуации в том, что по ссылке мне должны были открыться сканы книги опубликованной в 1971 году и посвящённой 250-летнему юбилею одного события.
Да, принудительное отключение Flash это не только отсутствие возможности поиграть в старые игрушки или пересмотреть Масяню в оригинале, а ещё и вот это - отсутствие возможности прочитать книжки изданные задолго до появления этой технологии.
Многие старые сайты уже никто не будет переделывать, а залитые в интернет сканы в формате swf не будут пересканировать и перезаливать.
Не знаю как вы, а я снова к букинистам.
AlexNewman
Все рано или поздно устареет + флеш дырки в безопасности имел.
mistergrim
Двадцать лет слышу про дыры в безопасности, и ни одного громкого взлома за всё время. Прямо неуловимый джо какой-то.
nochkin
Обычно взлом на стороне пользователя. Что тут кричать по этому поводу?
Обновления с закрытием очередной уязвимости во Flash часто прилетали в своё время.
Для примера можно тут посмотреть: cvedetails.com
На данный момент там 1078 публично открытых уязвимостей. Сколько там ещё не открытых мы не знаем.
mistergrim
Ну так где примеры взломов? Ботнеты на флешплеерах?
istepan
Раньше когда флеш запускался автоматически в каждом плагине, через него заливали вирусы. Так как плагин имеет полноценный доступ к системе пользователя.
Это была распространенная проблема в начале 2000-х и 2010-х годах.
Другой вопрос что такие вещи размещались в основном на сомнительных сайтах, куда редко заходят работники всяких организаций. Поэтому утечки были в основном у частных лиц.
Да и у вирусов тогда задачи были другие, например захламить компьютер рекламой всяких ххх сайтов и прочих казино.
mistergrim
Айяйяй, а сейчас-то у всех чистота и порядок, и не приходится каждому второму знакомому браузер чистить от XXX и казино.
Какое вообще отношение к дырам контент на сомнительных сайтах имеет, и какая разница, на какой технологии он создан?
istepan
У моих знакомых нет.
Там больше проблемы из-за браузеров от мыла и яндекса, которые надо «срочно обновить», и веб-пуш уведомления.
Скачивают и устанавливают всякие программы, а с ними и эту гадость. Причем антивирусы часто не реагируют, так как там вполне законные скрипты, которые «всего лишь» меняют главную страницу на свою, как пример.
А раньше была проблема с тем что достаточно было перейти не по той ссылке и заразиться. Это сейчас надо что-то скачать и добровольно запустить.
Забавно кстати наблюдать содержимое папки «Загрузки» на некоторых линуксовых машинах родственников.
fransua
флеш имел полноценный доступ к системе пользователя, а js не имеет, так что вирусы могут только дырами в браузерах пользоваться.
mistergrim
Что мешало адобу ограничить этот доступ?
F0iL
Адоб никому «доступ» не давал, но наличие дыр в плеере позволяло этот доступ получить.
Так что вы наверное имели в виду своим вопросом все-таки «что мешало адобу написать свой плеер без дыр и багов»? Видимо, что-то мешало, раз их там было огромное количество.
nochkin
Этот вопрос сродни вопросу «что мешает программистам делать код изначально без багов?»
kendo31
*Бывший flash-программист здесь.*
Flash-плеер никогда не имел полноценного доступа к системе пользователя.
tyomitch
kendo31
справедливости ради, так можно сказать про любой уязвимый компонент, через который возможна эскалация привилегий в системе.
Плеер был дыряв, да. Но с точки зрения прикладного интерфейса жил в песочнице.
Сравнивать JS и Flash не совсем корректно, т.к. у JS сильно хуже с использованием аппаратного ускорения, например. А там, где JS идет в эту область (WebGL) мы видим также большое количество проблем с безопасностью.
mordavmylu
В принципе да.
Если лет 10 назад частенько просили помочь и антивирусы даже стояли — то теперь крайне редко. И антивирусов не используют, своей защиты Windows уже достаточно.
sumanai
Ну да, потому что этот самый антивирус встроили в Windows.
mordavmylu
Судя по тому как тормозят работу отдельные антивирусы, а как встроенный в Windows — то все же не тот же самый.
Встроили легкий антивирус + пофиксили уязвимости. Этого оказалось более чем достаточно.
sumanai
Как будто при фиксе уязвимостей не добавили новых.
Видимо десктоп уже не так интересен вирусописателям, как какой-нибудь Android.
nochkin
Ещё как интересен. На десктопе векторы атак просто немного другие.
Marsikus
Десять лет назад Windows Defender / MSE уже был, но тогда к нему зачастую относились по принципу «отключить ненужный сервис» и ставили какой-нибудь другой антивирь. Теперь и встроенный многих устраивает.
sumanai
Он вроде не был встроен, только с десятки.
Кстати, я и сейчас его отключаю, без замены.
Maccimo
В семёрке уже точно был.
tyomitch
И даже в Vista.
sumanai
И в XP можно было установить.
Но я не припомню, чтобы на этих ОС какой-то похожий на антивирус софт вмешивался в работу пользователя. А в десятке вполне себе блокирует кряки.
DrPass
Как по мне, можно же было изменить плагин таким образом, чтобы он не имел полноценный доступ к системе пользователя, а выполнялся в какой-то песочнице. Дескать, вот тебе канва, на которой можешь рисовать что угодно и ловить фокус ввода, а больше — ни-ни. Но то ж программировать надо, причём продукт, который давно уже прибыли не приносит. Запретить, оно всяко дешевле.
F0iL
Будет ли плагин иметь доступ к системе зависит не сколько от плагина, сколько от среды, в которой он запускается (в нашем случае, от браузера). Браузеры заморачивались с этим как могли, сначала вынося NPAPI в отдельные процессы с песочницами, потом придумав PPAPI (сильно урезанный NPAPI специально для флеша), а потом плюнули на весь этот геморрой и закопали Flash. А Adobe и не против.
nochkin
Flash не только для игр предназначался. Одна из функций — это расширение возможностей браузера. В этом случае, например, одновременная закачка нескольких файлов с диска при таком подходе работать не может.
tyomitch
Большую часть этих возможностей встроили в браузер (проигрывание видео и аудио, закачка нескольких файлов)
nochkin
Это одна из причин почему Flash устарел.
Во времена активного Flash-строения этого ничего не было. Все эти штуки в браузере появились не так давно. И это не говоря о том, что заставить пользователя обновить браузер намного сложнее, чем рассчитывать на то, что Flash уже установлен.
Tufed
А теперь на компьютеры и телефоны заливают официально свою дрянь и MS и Google и другие. И всё через сертифицированные обновления. Неотключаемые, вшитые, восстанавливающие свою деятельность и т.д. И захламляют «правильной» рекламой, и борются с блокировщиками. И точно так же тырят у частных лиц и личные данные и пароли и всё что угодно. Еще и не стесняясь продают всё это до кучи «третьим лицам». Но они же хорошие, они большие и правильные, они имеют на это право/лицензии. Это другое.
Вы не понимаете.Просто к этому уже привыкли и обществом принимается как данность.amarao
Гугл не тырит пароли. Зачем ему ваши пароли, если он и так всё что нужно имеет?
Maccimo
Это если о чём-то и говорит, так только о том, что уязвимости исправляют. Не более. На винду ещё со времён XP регулярно прилетают пачки фиксов уязвимостей. Одна из мих самых любимых это запуск произвольного кода в DLL при попытке показать иконку в проводнике: CVE-2015-0096
В линуксах тоже случается находят уязвимости. И даже в целых процессорных архитектурах (Meltdown, Spectre, вот это всё).
nochkin
Не совсем так. Это ещё говорит о том, что уязвимости есть. А иначе что исправлять?
Изначально вопрос был ведь о наличии оных.
sumanai
Они есть везде.
nochkin
Конечно. Вопрос только в количестве и качестве.
cloudgroup
На странице статьи в разделе "Похожие публикации" можно почитать
AlexP78
Спасибо
Graphite
Любой специалист, который имел хоть какое-то отношение к безопасности в последние 5 лет прекрасно в курсе. Неспециалистам достаточно погуглить, чтобы найти вагон новостей о том, что Flash 0-day эксплуатируются против обычных пользователей, а также используется для таргетированых атак.
borovinskiy
А любой специалист, который имеет отношение к безопасности, гуглил ли про уязвимости в браузерах, смотрел ли количество уязвимостей, закрываемых в браузере в каждом релизе?
Почему всякий раз при упоминании Firefox, Chrome, Safari никто не говорит, что они дырявые?)
Graphite
Вопрос был "почему я не слышал ни одного громкого взлома". Ответ на него получен?
Если интересно перевести тему — пожалуйста.
Во Flash в год находили в 10-30 раз больше code execution уязвимостей, чем в Chrome. Более того, сами эти уязвимости были намного серьезнее, т.к. во Flash такое исполнение сразу выполняет код в системе, в Chrome же сначала надо сбежать из JS песочницы, потом сбежать из Tab песочницы и т.п. Уязвимостей, которые позволяли выполнить произвольный код в системе просто через заход на специальную страницу через Chrome — очень редки, буквально по пальцам пересчитать. Для этого нужно чтобы сошлись проблемы сразу на всех уровнях и надо разработать довольно непростой эксплойт. В большинстве уязвимостей произвольный код или выполняется внутри песочницы, или требует локального доступа к компьютеру, или и то и другое.
Во Flash в одном только 2016 году, когда он еще активно разрабатывался, было найдено почти 300 code execution уязвимостей и все они имели CVE score больше 9, т.е. позволяли выполнить код просто при открытии страницы в браузере.
Если коротко: Flash по сравнению с Chrome — полнейшее решето. С Firefox и Safari ситуация аналогичная.
borovinskiy
Спасибо.
KivApple
Это не мешает использовать его для доверенного архивного содержимого. Отключить плагин в браузерах по умолчанию — да, запрещать использовать даже после кучи «я согласен, продолжить» — сомнительное решение.
tmin10
Хотят избавиться от поддержки в новых версиях, после смен api и прочего.
KivApple
Так можно просто не поддерживать, удалить с оф. сайта, зачем таймбомба то?
Желающие всё равно забекапили версию до включения тайм-бомбы, точно также будут и использовать только совместимые (со старым API, если изменится) версии браузеров и т. д.
tmin10
Чтобы люди только сознательно пользовались, а случайно нигде не осталось старого флеша, который наплодит новые дыры в системе.
Aquahawk
Потому, что производители двух крупнейших браузеров Apple и Google, вместе удерживающих почти весь рынок браузеров также владеют мобильными платформами. Игры на флеше имели очень некислую монетизацию, которыя приносила деньги их конкуренту: facebook. И убивание веб игр вполне приведёт к переносу интереса пользователей и издателей от веба к мобилам. Ничем другим я такое яростное уничтожение flash объяснить не могу. Статистику по браузерам смотрите gs.statcounter.com
nochkin
Там не только Flash виноват и это не конспирация против веб игра на Flash'е.
Flash использовал NPAPI, который тоже был не фонтан в плане безопасности.
NPAPI выпиливается из браузеров.
AlexP78
Я вообще флешем не пользуюсь
grishkaa
Дырки в безопасности имела конкретная, официальная реализация флэш плеера. Сами по себе swf файлы ничем не особенны в этом плане. Сейчас, например, энтузиастами очень активно пилится альтернативная реализация, Ruffle. На Rust, собирается в WebAssembly, работает в любом современном браузере. Никаких дырок там быть не может, потому что язык гарантирует безопасность памяти, но даже если бы и были, за пределы песочницы браузера вредоносный код бы всё равно не попал.
Флэш будет жить, но на этот раз вечно и без дыр.
borovinskiy
В Ruffle малая часть AS3 реализована. Что-то будет работать, что-то нет. ruffle.rs/#compatibility
grishkaa
Да, но это временно, потому и сказал, что активно пилится.
Aquahawk
Я, как специалист именно в портировании с as3 на webgl огромной игры скажу, нет никогда никто не сделает. Потому что самое сложное — векторная графика и та производительность с которой флеш её рисовал, недостижима в браузерах никак. Там очень много апи которые просто так не делаются. Да всё можно сделать. Но нужны огромные трудозатраты очень квалифицированных математиков. Пока это не оплачивается кем-то очень хорошо, этого не будет. А я не могу найти ни одной причины кому-то платить за такое опенсорс решение.
QDeathNick
Да и без AS3 всё очень криво рендерится, проблемы с прозрачностью, не точно элементы располагаются почему-то.
Очень много придётся переделывать, что уже 10 лет нормально людьми использовалось.
dimasbka
Ruffle один разраб пилит и скорее всего под свои конкретные нужды, так что активно пилится еще пару лет будет, даже если помогать
sshikov
>потому что язык гарантирует безопасность памяти
Ну, я бы только на это не закладывался. Эксплойты имели место например на повышение привилегий. Ну т.е. пользовательский код -> рантайм -> callback (профит, повышенные привилегии, например запись локальных файлов, чего в браузере быть не должно). Простое переписывание этого на Rust не изменит этого само по себе (хотя конечно повлечет редизайн и повторное обдумывание).
grishkaa
Да, естественно. Но теперь это всё выполняется в стандартной песочнице браузера, так что привилегии повышать особо некуда. Если у swf-файла получится выбраться из песочницы браузера из плеера на wasm, флэш будет меньшей из проблем :)
sshikov
Ну да. это будет означать, что песочница уязвима сама по себе.
Я бы даже сказал так — дырки были в основном в плагине. Т.е. на стыке браузера и флеша. Тот же практически рантайм под названием Air, вроде бы даже никто не банил в IOS, потому что он не в браузере.
borovinskiy
В iOS программы на AIR компилируются в нативный код, а не во Flash Runtime исполняются (как в Android).
FerDeLance
Странное решение взять и запретить нечто устаревшее. WinXp хоть и не поддерживается более, но миллионы ее до сих пор используют. Чем был так опасен старый добрый Flash?
Maccimo
Устаревшие технологии тихо-мирно умирают в забвении. По-прежнему работоспособные, но уже никому не нужные. Здесь же мы имеем дело с злонамеренным убийством под надуманными предлогами. Дырок нет только в том софте, который не работает.