80

Na trzy wszyscy usuwamy Flasha z przeglądarek. Raz… dwa…

Perypetie związane z bezpieczeństwem (a właściwie jego brakiem) Flasha co i rusz wracają na główne strony serwisów technologicznych. Wygląda jednak na to, że nie tylko użytkownicy, ale również dostawcy oprogramowania powoli mają dość tego reliktu przeszłości i najchętniej zakopaliby go pięć metrów pod ziemią. Do czego dziś jest nam potrzebny Flash w przeglądarce? Do wyświetlania […]

Perypetie związane z bezpieczeństwem (a właściwie jego brakiem) Flasha co i rusz wracają na główne strony serwisów technologicznych. Wygląda jednak na to, że nie tylko użytkownicy, ale również dostawcy oprogramowania powoli mają dość tego reliktu przeszłości i najchętniej zakopaliby go pięć metrów pod ziemią.

Do czego dziś jest nam potrzebny Flash w przeglądarce? Do wyświetlania reklam? Do gier? Jestem ignorantem, wybaczcie, ale do tej pory nie znalazłem żadnego argumentu przemawiającego za tym, żeby korzystać z tej archaicznej technologii. Fakt, jest sporo miejsc, gdzie elementy flashowe się pojawiają, jak np. webowy player Spotify (wstydź się, Spotify!), ale mam wrażenie, że jest ich coraz mniej. I żeby nie było – personalnie nic do Adobe ani Flasha nie mam. Firma nie zabiła mi chomika, Flash nie spalił żadnego komputera… Przerażają mnie jednak kolejne informacje na temat krytycznych luk, które są w nim znajdowane właściwie co i rusz. Najgorsze w tym wszystkim jest to, że wciska się go do przeglądarek na siłę.

2015-07-14_115334

Weźmy Windowsa 8.1. Adobe Flash Player jest dostępny z poziom panelu sterowania. Microsoft we współpracy z Adobe zintegrował go z Internet Explorerem 10. Co ciekawe, w wersji Modern UI przeglądarka nie obsługuje żadnych pluginów poza… właśnie Flashem. Jest to co prawda obsługa częściowa, bo w trosce o czas pracy urządzeń mobilnych na baterii nie zdecydowano się na pełną implementację. Microsoft przygotował listę stron, na których Flash w trybie dotykowym jest obsługiwany. W przypadku wersji desktopowej oczywiście wsparcie jest pełne. Mało tego – na takiej samej zasadzie będzie to działać w Windowsie 10, gdzie Microsoft Edge również będzie posiadał zintegrowanego Flasha (ale, co zabawne, już nie będzie wspierał Silverlight).

2015-07-14_115358

Idziemy kawałek dalej – Chrome. Tutaj również Flash Player jest integralną częścią przeglądarki. Google jakiś czas temu we współpracy z Adobe wbudował go w odseparowanej od przeglądarki piaskownicy (dla porównania w Firefoksie od wersji 3.6.4, wtyczki są odseparowane od głównego procesu przeglądarki). Rozwiązanie to ma znacząco podnosić poziom bezpieczeństwa. Co więcej, Flash jest aktualizowany równolegle z przeglądarką, więc użytkownik nie musi się o to martwić – cały proces odbywa się automatycznie w tle.

Na szczęście możemy się bronić. W Internet Explorerze wystarczy przejść do ustawień dodatków, tam znaleźć pozycję Shockwave Flash Object i ją wyłączyć. Można też zrobić to odgórnie w zasadach grupy systemu. W Chrome należy wpisać chrome://plugins w pasku adresu, co wyświetli listę aktywnych wtyczek. Lokalizujemy Flash Playera i wyłączamy. Użytkownicy Firefoksa mają najprościej, bo przechodzą do Panelu Sterowania w Windows oraz uruchamiają aplet Programy i funkcje, a następnie odinstalowują Flasha. Szczerze Wam polecam to rozwiązanie. Od miesiąca korzystam z Chrome z dezaktywowanym Flashem i nie brakowało mi go ani razu.

Żywy trup

A teraz zestawmy to z dzisiejszym ruchem Mozilli. Fundacja całkowicie zablokowała Flasha w wersji 18.0.0.203 i poprzednich w swojej przeglądarce w odpowiedzi na znalezione po wycieku danych Hacking Team krytyczne luki typu 0-day. Adobe nie zwlekało i szybko pojawiła się aktualizacja do wersji 18.0.0.209. Teoretycznie zatem użytkownicy, którzy regularnie (lub automatycznie) aktualizują wtyczkę, nie odczują tego na własnej skórze. Sęk w tym, że nie jest to wcale pierwszy taki przypadek. Flash ma regularnie problemy z bezpieczeństwem, a przy tym jest niestabilny (jedyny powód, dla którego od czasu do czasu „padają” mi karty w Chrome) i ociężały. Za miesiąc lub dwa znowu scenariusz się powtórzy.

Z drugiej strony to ciągle bardzo dojrzałe, zaawansowane i rozbudowane rozwiązanie dające duże możliwości developerom i działające niezależnie od przeglądarki. Nie bez powodu Flash tak chętnie był wykorzystywany do tworzenia gier przeglądarkowych, bo daje tutaj bardzo pozytywne rezultaty. Istnieje cała masa narzędzi pozwalających na tworzenie aplikacji we Flashu. Nie można zatem odmówić mu pewnych zalet – przyznaję to, choć z niekrytym bólem.

2015-07-14_123046

Tutaj wracam do swojego pytania z początku artykułu: do czego jest nam potrzebny Flash? Czy aby nie jest tak, że Flash nas bardziej potrzebuje niż my jego? Alex Stamos zajmujący się kwestiami bezpieczeństwa na Facebooku apeluje na Twitterze do Adobe, aby firma ogłosiła zakończenie wsparcia dla tej technologii. Sam Facebook co prawda domyślnie odtwarza wideo z wykorzystaniem tej wtyczki, ale wystarczy ją wyłączyć, by bez problemów przełączyć się na HTML5.

https://twitter.com/alexstamos/status/620306643360706561

A jeżeli faktycznie świat nie może żyć bez tego nieszczęsnego Flash Playera, to może warto zainwestować w otwarte alternatywy. Weźmy taki projekt Shumway, który samodzielnie rozwija Mozilla. W dużym skrócie jest to technologia, która pozwoli odtwarzanie elementów flashowych bez udziału zewnętrznych plug-inów. Może nie jest to idealne rozwiązanie i pomysł dopiero raczkuje, ale wydaje się znacznie lepszym pomysłem niż podtrzymywanie przy życiu zombie.

Trzeba wiedzieć kiedy ze sceny zejść…

Flash zniknął całkowicie z mobile, za co chyba w głównej mierze możemy być wdzięczni Apple i determinacji Steve’a Jobsa, który bez skrupułów w 2010 roku pozbył się go z iOS. Przez jakiś czas jeszcze egzystował na Androidzie, ale i tutaj szybko zakończyła się jego przygoda – samo Adobe zrezygnowało z dalszego rozwoju. Odejście od Flasha widać jednak również na desktopach. Nie tyle nawet samego Flasha, co wtyczek ogółem. Antyczny standard NPAPI odchodzi do lamusa i jest już domyślnie blokowany w Chrome (a niebawem również w Firefoksie). Jego miejsce zajmują standardy, jak HTML5 i mu pokrewne. Ktoś powie, że to również nie jest idealne rozwiązanie. Trudno się oprzeć czasem wrażeniu, że HTML5 jest przedstawiany niczym lek na całe zło tego świata. Tymczasem ma on również swoje braki i wady, a w pewnych aspektach nie jest tak rozwinięty jak technologia Adobe (pomijając już kwestie zgodności w poszczególnych przeglądarkach). Nic lepszego póki co jednak nie mamy. A już w ogóle wszystko jest lepsze niż Flash.