Domanda:
Perché dovremmo preoccuparci di Adobe Flash?
KingJohnno
2018-04-11 20:25:07 UTC
view on stackexchange narkive permalink

Avevo l'impressione che Adobe Flash fosse morto e che i browser non supportassero più Flash in modo nativo? Perché quindi c'è una grande quantità di clamore online su una nuova vulnerabilità di esecuzione di codice in modalità remota in Flash?

I browser lo supportano ancora, lo disabilitano per impostazione predefinita tranne che per i domini autorizzati e consentono all'utente di abilitarlo selettivamente secondo necessità per altri domini.
Alcune persone giocano a tutti i giochi che riescono a trovare online, inclusi giochi Flash come [AntBuster] (http://cache.armorgames.com/files/games/antbuster-522.swf) e [Manufactoria] (http://pleasingfungus.com/ Manufactoria).A proposito, non si tratta solo di giochi Flash: [app Android] (https://www.zdnet.com/article/gooligan-android-malware-grabs-a-million-google-accounts-in-huge-google-play-frode), [giochi Android] (https://securingtomorrow.mcafee.com/consumer/consumer-threat-notices/android-game-malware), [giochi di un'azienda corrotta] (https://www.securityweek.com/ cybercriminals-trick-qihoo-360-whitelisting-malware), ...
Anche quando gli editori di browser smetteranno completamente di supportarlo in futuro, e la maggior parte lo disabiliterà già per impostazione predefinita, ci sono molte persone (per lo più non tecnicamente versate) che per qualsiasi motivo disabilitano gli aggiornamenti o addirittura rifiutano ogni volta che si apre il messaggio di aggiornamento, equindi rimani su versioni di browser e plugin vecchie di anni.
Le aziende possono utilizzare HTML 5 per fare tutto ciò che può fare Flash Player, ma devono imparare modi diversi di fare le cose per farlo.È più economico continuare a utilizzare Flash.È meglio e più sicuro usare le tecniche HTML 5, ma sono sicuro che ci siano anche alcune vulnerabilità.
Inoltre, a volte i progetti (soprattutto interni all'azienda) sono semplicemente strutturati secondo la regola del "build now, run for xx years, period".
@Raimund Krämer o persone tecnicamente esperte che non si divertono con i due principali fornitori di browser che fanno quello che vogliono nei loro aggiornamenti.
* Perché quindi, c'è una grande quantità di clamore online * - ricorda che una grande parte del clamore è costituito da vari "esperti di sicurezza" che cercano di promuovere la loro "esperienza" scrivendo articoli spaventosi su questa nuova vulnerabilità.E poi i giornalisti tecnologici di basso livello raccolgono il falso clamore per scrivere tonnellate di articoli sull'argomento.Alla fine hai l'impressione che sia un grosso problema anche se non è un grosso problema in primo luogo.
Dovresti preoccuparti del flash per lo stesso motivo per cui tieni agli scarafaggi e al cancro.
[Citi usa ancora Flash.] (Https://online.citi.com/US/VAN/webcard/ranwebcard.jsp)
@JoshuaNurczyk sbagliato, Flash può utilizzare socket TCP, HTML5 no.(possono usare il protocollo WebSocket, per comunicare con qualsiasi server WebSocket, che sono basati su TCP, ma non possono usare HTML5 per accedere a World of Warcraft, che usa un protocollo personalizzato basato su TCP, ma Flash può farlo.)
@JoshuaNurczyk o per dirlo più facilmente, Flash può comunicare con qualsiasi protocollo basato su tcp, HTML5 no.
Non è tutto morto!È solo * per lo più * morto!
Sei risposte:
Steve Sether
2018-04-11 21:14:23 UTC
view on stackexchange narkive permalink

La risposta breve è che ci vuole un tempo mooooolto prima che il software muoia. Anche nel 2018 abbiamo ancora COBOL che gestisce società multimiliardarie, nonostante COBOL sia stata una lingua "morta" per decenni.

La risposta più lunga è che c'è ancora una quantità significativa di siti web che richiedono Flash e le persone -abilita Flash per motivi pratici.

Spesso si tratta di siti web aziendali interni "mission-critical" o scuole che non hanno dato la priorità alla sostituzione di applicazioni legacy basate su Flash. Ciò potrebbe significare l'utilizzo di browser meno recenti in cui Flash non è disattivato o solo utenti addestrati a riattivarlo ogni volta.

Su tutta la linea, i numeri di aprile 2018 sono circa il 5% dei siti web secondo a https://w3techs.com/technologies/details/cp-flash/all/all

Quindi non direi che Flash è "morto", ma è lento morendo.

In Corea, ci sono ancora siti che _richiedono_ Flash per funzionare, e molti che richiedono addirittura ActiveX per funzionare!Immagina l'orrore, un sito costruito interamente su qualcosa del genere, nel 2018.
Non dimentichiamo i siti web del governo come http://stroke-order.learningweb.moe.edu.tw/wordDetail.do?big5Code=C5E9 del Ministero dell'Istruzione taiwanese.Insegna alle persone come disegnare e pronunciare correttamente ogni carattere cinese tradizionale usando Flash e probabilmente non è stato aggiornato per non usare ancora Flash a causa dell'enorme mole di lavoro coinvolto.
Il 5% dei siti Web è ancora un numero incredibilmente enorme
La morte di COBOL è enormemente esagerata.Vedo ancora molte offerte di lavoro per gli sviluppatori COBOL.
@Clearer quanti di loro sono per supportare il sistema legacy?Come va per i nuovi sviluppatori?
@Clearer: la metà di loro è solo case di riposo in cerca di nuovi occupanti.
Peggio delle applicazioni legacy sono i _devices_ legacy.Nel mio lavoro, abbiamo investito decine di migliaia di dollari in dispositivi hardware che possono essere gestiti _solo_ tramite interfacce web integrate utilizzando componenti Flash, Java o ActiveX.È un incubo.
@PatrickDark In effetti ... una buona parte di quel 5% saranno quei siti web del governo che sembrano sempre vivere su software di 20 anni per evitare pesanti contratti per rifarli.Sfortunato ma importante per molte persone.Inoltre, c'è Homestar Runner, che da solo vale 2-3 Internet.
Il software non richiede solo molto tempo per morire.Inoltre, non esiste un software temporaneo, quando ero giovane ho scritto una sceneggiatura per aiutarmi ad aiutare me stesso.Quella sceneggiatura è stata progettata esplicitamente per funzionare come misura provvisoria per 1 o 2 mesi.15 anni dopo quella sceneggiatura era ancora lì, era diventata la pietra angolare per la produttività dell'intero dipartimento.Fu allora che decisero di riscriverlo, fino a quel punto quel semplice loop era abbastanza buono.
COBOL non è morto, ha solo un cattivo odore.
COBOL non sarà morto fino a quando altre lingue non impareranno ad aggiungere numeri correttamente.Ogni altra lingua utilizza internamente la notazione scientifica, il che è ottimo per calcolare gli inserimenti orbitali, ma fa schifo per il bilanciamento dei conti dei salari.
@Harper "Notazione scientifica"?Come useresti una * notazione * internamente?Non ho mai scritto COBOL, quindi mi piacerebbe sapere cosa ha di speciale la sua gestione dei numeri in particolare
@voo COBOL utilizza matematica a virgola fissa e larghezze di numeri fissi.È decisamente bizzarro fino a quando non ti rendi conto che è basato sugli adder nei mainframe IBM.Il 90% di ciò che stai facendo è aggiungere e tabulare, quindi ha senso.Quando devi fare calcoli reali, ad esempio un calcolo degli interessi ipotecari, crei alcune variabili FLOAT temporanee, fai i tuoi calcoli e converti di nuovo in virgola fissa.Non trasporta mai numeri internamente come $ 234,5600001, che * non può accadere *.
@Harper non è proprio come usare un tipo intero in altre lingue?
@Harper Quindi si tratta di prestazioni?Perché se tutto ciò che vuoi è la matematica a virgola fissa, è banale da implementare se hai l'aritmetica dei numeri interi a tua disposizione (probabilmente vuoi un linguaggio con sovraccarico di operatori per rendere la sintassi non orribile però).
Quindi siamo passati dal contare le pecore con bastoni e pietre al discutere sulla notazione in virgola mobile sui computer ... la razza umana è solo qualcos'altro.
[* Base installata *] (https://en.wikipedia.org/wiki/Installed_base) è il termine per questo problema: "... il numero di unità di un prodotto o servizio che sono effettivamente in uso, ... in contrasto con il mercatoquota, che riflette solo le vendite in un determinato periodo ”.
@bdsl certo, i numeri interi su entrambi i lati del punto decimale non sarebbero lontani.A quel tempo era più economico portare tutti i numeri come BCD piuttosto che fare i controlli dei limiti ad ogni operazione e conversione decimale al momento della stampa.I controlli dei limiti sono necessari per rilevare un overflow di campo come 9999 + 1.Nessun modo efficiente per farlo in matematica binaria.COBOL in realtà deve essere un linguaggio molto strettamente digitato.Per esempio.La == e = confusione (se $ A = 1) è proprio il genere di cose che i clienti di COBOL non sopporteranno mai!
@Harper Molti linguaggi moderni, se non la maggior parte, hanno un modo per eseguire calcoli decimali di precisione arbitraria senza errori.In Java si chiama BigDecimal.In PLSQL utilizzare il tipo Money.Questo è un problema ben noto e ci sono una varietà di soluzioni diverse a seconda della lingua.
Ho visto diversi casi nel tempo in cui progetti multimilionari per sostituire il software legacy non sono riusciti a produrre qualcosa che potesse corrispondere alle funzionalità e alle prestazioni dell'originale, quindi il nuovo progetto è stato scartato e il codice legacy ha avuto altri 15 anni di vita.
MichaelEvanchik
2018-04-11 20:31:47 UTC
view on stackexchange narkive permalink

Perché non è completamente "morto". È solo soppresso, ad esempio, in Chrome l'utente deve fare clic per consentire Flash.

Google ha affermato che entro il 2020 non supporterà affatto Flash.

Non è solo Google.Adobe sta per EOLing flash alla fine del 2020. Mozilla sta pianificando di rimuoverlo dal browser Firefox principale a metà 2019, con la versione ESR che lo manterrà in vita fino all'inizio del 2021. https://theblog.adobe.com/adobe-aggiornamento flash / https://developer.mozilla.org/en-US/docs/Plugins/Roadmap
Philip Rowlands
2018-04-11 21:07:24 UTC
view on stackexchange narkive permalink

Sfortunatamente, molti software aziendali o siti web interni ancora richiedono Flash per varie cose (e non necessariamente una versione recente che potrebbe avere alcune patch). Se un'azienda decide che la sua applicazione interna richiede una versione di Flash vecchia di cinque anni per funzionare, non la applicherà.

Ciò lascia una quantità enorme di software e siti che probabilmente vulnerabile a nuovi attacchi basati su Flash.

Inoltre, c'è un sacco di hardware per investimenti a lungo termine (si pensi alle schede LOM nei server, alla rete di dispositivi RAID, UPS e apparecchiature di telecomunicazione ...) che si basa su Java e / o Flash nelle sue interfacce web.Questa roba è di solito impacchettata in una rete di manutenzione protetta da firewall, e di solito NON si vuole fare confusione con le immagini del firmware (specialmente se si accede di rado a quella roba e i modi per lavorarci fanno parte della documentazione di emergenza).Un motivo frequente per avere atteggiamenti molto, molto violenti nei confronti delle politiche di sicurezza del browser "nessuna possibilità di ricorso da parte dell'utente".
Non c'è niente come vedere il messaggio di Edge "ti sei imbattuto in qualche antica tecnologia web" sulla home page della tua intranet aziendale.
Molti di questi usi non sono solo cose semplici che sono un po 'troppo per Javascript?Non è come se stessero scrivendo giochi... per esempio la divisione record aziendali del mio stato usa ancora java per mostrarti i file TIFF di documenti ... non è altro che un po 'di colla.
Flash è ancora utilizzato su webapp come Mint (trend di investimento) e TeamViewer.
Ghost8472
2018-04-12 02:37:39 UTC
view on stackexchange narkive permalink

Adobe sta ancora rilasciando nuovi aggiornamenti al proprio editor Flash (ora denominato Animator) e nuove versioni del proprio Flash player. Penso che gli aggiornamenti di Flash Player siano meno evidenti (funzionano in background), quindi non notiamo quanto spesso si aggiornano ora.

Hanno anche il loro lettore AIR per telefoni cellulari (il nucleo di Flash viene scaricato a un telefono una volta, quindi le app non devono includere il core e AIR diventa il proprio marketplace multipiattaforma).

Sembra che stiano cercando di migrare molti aspetti di Flash / Animator su HMTL5 / CSS3 / JS, sospetto in gran parte a causa del calo del supporto dei browser.

Molti giochi per browser sono stati realizzati in Flash e Adobe ha ancora il suo Game SDK, che utilizza Flash per le risorse grafiche.

In effetti, la mia piccola azienda ha lavorato alla conversione del nostro gioco basato su Flash in HTML5 / JS negli ultimi due anni.Abbiamo replicato la maggior parte delle funzionalità principali, ma abbiamo ancora un numero enorme di piccole cose rimanenti.
CPHPython
2018-04-14 15:54:42 UTC
view on stackexchange narkive permalink

Diversi siti web di intrattenimento supportano ancora e forse continueranno a supportare i giochi Flash nonostante i problemi di sicurezza, poiché è probabile che siano la loro principale fonte di entrate:

Per poter giocare alla maggior parte dei giochi in questi siti web, l'utente deve solo:

Click to Allow Flash

Che è possibile anche nella maggior parte dei computer pubblici (non è richiesta alcuna installazione poiché è incorporato nel browser). Usabilità / accesso rapido trionfa sui problemi di sicurezza quando gli utenti utilizzano Internet café a tempo limitato / a pagamento.

Todd Hansnicki
2018-04-13 05:52:33 UTC
view on stackexchange narkive permalink

Lavoro per un'azienda che è partner di una grande azienda agricola. La società Said Ag utilizza Flash per tutte le sue applicazioni web. Anche applicazioni rilasciate di recente (meno di 6 mesi). Sfortunatamente, molte aziende non vedono i lati negativi dell'utilizzo di un'applicazione vulnerabile nota e continueranno a utilizzarla poiché hanno investito tempo e denaro in essa e vogliono ottenere un ritorno su di essa.

In Australia , fino a poco tempo fa, l'accesso all'ufficio delle imposte (e ad altre organizzazioni governative) era ottimale tramite Internet Explorer 8! Per fortuna, sono cambiati e Chrome / Firefox funzionano altrettanto bene, ma mostra che non puoi prendere la consapevolezza che qualcosa non va come un segno che tutti lo scaricheranno.

Tutto sommato, significa che noi devi preoccuparti delle applicazioni poco chiare che sono là fuori perché è meglio essere consapevoli e patchati / mitigati piuttosto che essere morsi.

Internet Explorer 8?Cos'è questo, i Flintstones?


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...