przystajnik

Polowanie na dziurawego Flash Playera

Chyba żadna z wtyczek do przeglądarek stron WWW nie ma aż tak złej prasy jak Adobe Flash Player. To również pouczająca historia, jak niedaleko jest ze szczytu sławy do piekła nienawiści. Choć Flash Player jeszcze długo nie da nam o sobie zapomnieć, to wielu użytkowników najchętniej widziałoby go w muzeum osobliwości wraz z Silverlightem, a wiele firm forsuje i przekonuje do odzwyczajenia się od tej skompromitowanej na wszelakie sposoby technologii. Zapowiedzią zmian i znakiem czasów są też porady internetowe, które jeszcze niedawno opiewały jak skutecznie zainstalować ten dodatek, teraz – jak skutecznie go deaktywować i odinstalować.

Flash-PlayerO dziurach w odtwarzaczu animacji Flash było wiadomo od dawna. Również jego wydajność pozostawiała wiele do życzenia, szczególnie na systemach z kernelem linuksowym. Do tego stopnia, że samo Adobe poddało się i w wersji dla Linuksa oficjalny Flash Player zakończył karierę na wydaniu 11.2.xx (oczywiście otrzymuje on jednak poprawki bezpieczeństwa). Utarło się, że jeżeli ktoś już musi z Flash Playera korzystać, to tylko za sprawą tego zaszytego w przeglądarce Google Chrome (PPAPI Flash Player).

Jednak skalę zagrożeń tkwiących w zmurszałych strukturach Flash Playera ujawniło dopiero włamanie na serwery Hacking Team i wydobycie z nich niemal 400GB danych. Codziennie dokonywanych jest mnóstwo przeróżnych włamań, dlaczego ktoś miałby się przejmować danymi z serwerów Hacking Team? Otóż jest to firma tworząca oprogramowanie szpiegowskie na zlecenie służb specjalnych wielu państw (z usług korzystało też nasze rodzime Centralne Biuro Antykorupcyjne). W wyniku włamania światło dzienne ujrzały przeróżne exploity zero-day dla masowo użytkowanych wtyczek, przeglądarek, czytników PDF, itp. W tym również nieznane do tej pory sposoby na przejęcie kontroli nad komputerem ofiary za pomocą rzeczonej wtyczki Flash (CVE-2015-5119). Reakcja na owe sensacje (poza oburzeniem na sposoby pozyskiwania danych przez służby wywiadowcze) była szybka i Adobe wydało stosowne poprawki w wersji 18.0.0.203 (Windows, OS X i Linux z Google Chrome). Jednak dziury we Flashu są jak głowy Hydry – zetnij jedną, odrosną dwie następne (CVE-2015-5122 i CVE-2015-5123). Tę historię można ciągnąć w nieskończoność, gdyż w odpowiedzi na kolejne poprawki za jakiś czas zobaczymy kolejne wymyślne sposoby poniżania bezpieczeństwa przez wtyczkę Flash.

Niech szczeźnie Flash Player

Niech szczeźnie Flash Player

Co pozostało w obliczu takiej skali niedoskonałości? Użytkownicy Linuksa po latach zmagań z wydajnością Flash Playera, problemów z jego zainstalowaniem, usterkami i tak dalej, w końcu z mściwą satysfakcją mogą go po prostu usunąć z komputera. To również szansa dla HTML5 aby w pełni przejąć schedę po produkcie Adobe. Utyskiwania na sprawność działania np. wideo wyświetlanego za pomocą HTML5 odejdą wkrótce w niepamięć, gdy wszystko się upowszechni i większe siły wezmą się za jego udoskonalanie.

Jak pozbyć się Flash Playera? To proste, w ustawieniach Firefoksa deaktywujemy go na liście wtyczek (Ustawienia -> Dodatki -> Wtyczki). Jeżeli z jakichś względów jednak chcemy mieć możliwość jego aktywowania dla wybranych stron, wybieramy „Pytaj o aktywację”. Dla pełni szczęści możemy wyrzucić go całkiem z systemu, odinstalowując paczkę adobe-flashplugin (Ubuntu i pochodne), flashplugin-installer w Mincie lub flashplugin w Arch Linuksie/Manjaro. Jak żyć bez tej wtyczki? Większość stron albo zrezygnowało z tej technologii, albo zrezygnuje w najbliższym czasie. W przypadku najpopularniejszego Youtube wystarczy włączyć na tej stronie odtwarzanie wideo za pomocą HTML5.

Jednak są sytuacje, kiedy natrafimy na niereformowalne serwisy WWW, gdzie bez Flasha ani rusz. Wtedy najbezpieczniej i najlepiej jest skorzystać z Google Chrome i tamtejsze aktualnej wersji wtyczki, idącej ręka w rękę z wydaniami dla Windowsa (obecnie 18.0.0.xx).
 

Post navigation

5 comments for “Polowanie na dziurawego Flash Playera

  1. Dobrecki
    16 lipca, 2015 at 19:38

    Nie miałem czasu na bieżąco śledzić tematu, szkoda bo jest poważny. Tu znalazłem rzetelne podsumowanie, przystępnie napisane. Po raz kolejny dziękuję Salvadhorze za twoje wpisy, ciekawe i zrównoważone ale nie mdłe ani byle jakie.
    Pozdrawiam.

  2. Bogdan Pilarczyk
    17 lipca, 2015 at 16:07

    Na DUG-u jest stały wątek na ten temat. Wydano libflashplayer.so z uzupełnieniami takimi jak ma chrome. Proszę poczytać poniższy link i posty poniżej:

    https://forum.dug.net.pl/viewtopic.php?pid=288960#p288960

  3. clfapujc
    18 lipca, 2015 at 10:15

    Firefox + YouTube + HTML5 bardziej mi grzeją procesor w laptopie niż kombinacja z Flashem. Nawet przy 480p, gdzie z Flashem mogę oglądać 720p i są skoki temperatury ale nie aż takie, jak przy HTML5. Xubuntu 32-bit. Sterowniki własnościowe nVidii.
    Chrome/Chromium nie używam, bo nie lubię.

  4. 19 lipca, 2015 at 9:20

    Masz włączoną akcelerację sprzętową? U mnie na otwartych sterach nvidii video w HTML5 na youtube działa ze 2 razy wydajniej i stabilniej niż flash. Patrząc na zużycie procesora jest podobnie jak przy odtwarzaniu np w smplayerze, więc IMO naprawdę jest dobrze. Zresztą w ogóle mam wrażenie że odtwarzacze w HTML5 działają sprawniej, np na Filmwebie dopiero gdy wprowadzili nowy odtwarzacz (właśnie na HTML5) da się w ogóle coś tam oglądać.

  5. clfapujc
    19 lipca, 2015 at 18:03

    Mam włączoną akcelerację, ale nawet gdy wyłączę, to żadnej różnicy nie widzę ani we flashu, ani w html5.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Translate »