Polowanie na dziurawego Flash Playera

Chyba żadna z wtyczek do przeglądarek stron WWW nie ma aż tak złej prasy jak [[Adobe Flash Player]]. To również pouczająca historia, jak niedaleko jest ze szczytu sławy do piekła nienawiści. Choć Flash Player jeszcze długo nie da nam o sobie zapomnieć, to wielu użytkowników najchętniej widziałoby go w muzeum osobliwości wraz z [[Silverlight|Silverlightem]], a wiele firm forsuje i przekonuje do odzwyczajenia się od tej skompromitowanej na wszelakie sposoby technologii. Zapowiedzią zmian i znakiem czasów są też porady internetowe, które jeszcze niedawno opiewały jak skutecznie zainstalować ten dodatek, teraz – jak skutecznie go deaktywować i odinstalować.

O dziurach w odtwarzaczu animacji Flash było wiadomo od dawna. Również jego wydajność pozostawiała wiele do życzenia, szczególnie na systemach z kernelem linuksowym. Do tego stopnia, że samo Adobe poddało się i w wersji dla Linuksa oficjalny Flash Player zakończył karierę na wydaniu 11.2.xx (oczywiście otrzymuje on jednak poprawki bezpieczeństwa). Utarło się, że jeżeli ktoś już musi z Flash Playera korzystać, to tylko za sprawą tego zaszytego w przeglądarce [[Google Chrome]] (PPAPI Flash Player).

Jednak skalę zagrożeń tkwiących w zmurszałych strukturach Flash Playera ujawniło dopiero włamanie na serwery Hacking Team i wydobycie z nich niemal 400GB danych. Codziennie dokonywanych jest mnóstwo przeróżnych włamań, dlaczego ktoś miałby się przejmować danymi z serwerów Hacking Team? Otóż jest to firma tworząca oprogramowanie szpiegowskie na zlecenie służb specjalnych wielu państw (z usług korzystało też nasze rodzime Centralne Biuro Antykorupcyjne). W wyniku włamania światło dzienne ujrzały przeróżne exploity [[Zero-day_exploit|zero-day]] dla masowo użytkowanych wtyczek, przeglądarek, czytników PDF, itp. W tym również nieznane do tej pory sposoby na przejęcie kontroli nad komputerem ofiary za pomocą rzeczonej wtyczki Flash (CVE-2015-5119). Reakcja na owe sensacje (poza oburzeniem na sposoby pozyskiwania danych przez służby wywiadowcze) była szybka i Adobe wydało stosowne poprawki w wersji 18.0.0.203 (Windows, OS X i Linux z Google Chrome). Jednak dziury we Flashu są jak głowy [[Hydra_lernejska|Hydry]] – zetnij jedną, odrosną dwie następne (CVE-2015-5122 i CVE-2015-5123). Tę historię można ciągnąć w nieskończoność, gdyż w odpowiedzi na kolejne poprawki za jakiś czas zobaczymy kolejne wymyślne sposoby poniżania bezpieczeństwa przez wtyczkę Flash.

Co pozostało w obliczu takiej skali niedoskonałości? Użytkownicy Linuksa po latach zmagań z wydajnością Flash Playera, problemów z jego zainstalowaniem, usterkami i tak dalej, w końcu z mściwą satysfakcją mogą go po prostu usunąć z komputera. To również szansa dla [[HTML5]] aby w pełni przejąć schedę po produkcie Adobe. Utyskiwania na sprawność działania np. wideo wyświetlanego za pomocą HTML5 odejdą wkrótce w niepamięć, gdy wszystko się upowszechni i większe siły wezmą się za jego udoskonalanie.

Jak pozbyć się Flash Playera? To proste, w ustawieniach Firefoksa deaktywujemy go na liście wtyczek (Ustawienia -> Dodatki -> Wtyczki). Jeżeli z jakichś względów jednak chcemy mieć możliwość jego aktywowania dla wybranych stron, wybieramy „Pytaj o aktywację”. Dla pełni szczęści możemy wyrzucić go całkiem z systemu, odinstalowując paczkę adobe-flashplugin (Ubuntu i pochodne), flashplugin-installer w Mincie lub flashplugin w Arch Linuksie/Manjaro. Jak żyć bez tej wtyczki? Większość stron albo zrezygnowało z tej technologii, albo zrezygnuje w najbliższym czasie. W przypadku najpopularniejszego Youtube wystarczy włączyć na tej stronie odtwarzanie wideo za pomocą HTML5.

Jednak są sytuacje, kiedy natrafimy na niereformowalne serwisy WWW, gdzie bez Flasha ani rusz. Wtedy najbezpieczniej i najlepiej jest skorzystać z Google Chrome i tamtejsze aktualnej wersji wtyczki, idącej ręka w rękę z wydaniami dla Windowsa (obecnie 18.0.0.xx).