Flash即将彻底退休,企业用户该如何自处?
自那时起,Flash就一路走向低谷。首先,其中确实存在大量安全问题; 其次,大约五年之前,互联网技术头羊Adobe公司宣称Flash将不再供移动设备使用。最后,HTML 5于2014年诞生,并成为动画及游戏等多媒体应用领域最为出色的Flash替代性开发平台。
根据Q-Success管理咨询公司旗下事业部W3Techs的调查结果,五年前Flash占据着互联网中约30%的网站; 时至今日,这一数字已经下降到不足8%。
然而,Flash仍被互联网中的众多站点所使用,其中包括《纽约时报》、salesforce.com、福克斯新闻、Spotify以及星巴克等等。另外,尽管Adobe公司承认Flash的辉煌时期早已结束,但该公司仍在为该软件提供补丁与更新。面对一系列潜在安全风险,最终用户也仍然在下载Flash播放器插件。
那么,企业该如何处理Flash问题。将其彻底屏蔽?逐步淘汰?抑或是让其在可预见的未来任何作为遗留软件存在?
1.份额下降,但仍未彻底退出
Ray Valdes
“Flash技术在过去五年当中显然是在不断衰落,”Gartner公司研究副总裁Ray Valdes表示。“然而,网络上仍存在着大量Flash内容,包括广告、尚未更新的遗留内容、游戏以及某些应用程序。”
Valdes同时补充称,在企业环境下Flash通常扮演着利基型应用角色,类似于Java applets以及基于桌面的Java类应用。然而,HTML 5如今已经发展成熟,并能够全面取代插件性质的Flash成为富互联网应用的首选实现方案。
Forrester公司高级安全与风险分析师Josh Zelonis表示,Flash的消亡主要源自其糟糕的安全性水平以及Adobe公司于2012年宣布的不再将其投放移动市场的决定。
Zelonis指出,目前近半数网络流量来自移动设备,因此将Flash从移动端除名意味着其无法成为Web应用的普适性开发平台。
“不过,我认为Flash还没有到最终灭亡的时候,”Zelonis表示。“企业在过去五年中已经不再将Flash用于移动浏览器,但仍可通过Adobe AIR运行其原生应用。”Adobe Air是一款强大的工具,曾被用于开发《愤怒的小鸟》等游戏以及TweetDeck等站点。
在企业终端上屏蔽Flash
2009年,赛门铁克公司报告称,“Adobe Reade及Flash Player中存在一项远程代码执行漏洞,其在当年最易受利用的安全漏洞中排名第二”。而这仅仅是个开始。2010年,Adobe公司遭遇到一系列高危安全漏洞轰炸,其影响平台遍布Windows、Mac、Linux、Solaris、UNIX以及Android等操作系统及设备平台。而根据卡巴斯基实验室于2012年发布的报告,其有47.5%的客户曾至少遭遇过一次由Flash引发的高危安全漏洞。
相关攻击活动直到今天仍在继续。2016年4月,Windows 10(及更早版本)上的全部Flash Player版本皆受到超过二十项安全漏洞的影响,其中包括一项零日漏洞。随后发布的补丁先后解决了内存损坏错误、堆栈错误、类型混淆漏洞、堆缓冲区溢出以及安全回避漏洞等等。
今年7月,Adobe公司发布了Flash Player的一套更新版本,其中包含52项其它安全漏洞的对应补丁。这些漏洞曾被用于实施针对性攻击,并致使黑客得以控制其入侵的系统。直到今年10月26日,Adobe公司还发布了另一项安全更新。此补丁用于解决Flash Player中的另一项允许黑客远程感染系统的漏洞。其受影响平台包括Windows(7、8.1及10版本)、Mac、Linux以及Chrome OS。
根据Technology Business Research公司首席安全分析师Jane Wright的观点,企业CIO与CISO们纷纷表示Flash已经成为几年来其最为关注的安全薄弱环节。即使安装了全部现有补丁,黑客仍然能够找到新的Flash利用途径并在企业环境内下载恶意内容。
Technology Business Research公司首席安全分析师Jane Wright
“众多企业已经依赖于终端安全供应商提供的黑名单以阻止员工计算机运行Flash。不过黑名单在员工移动设备上的普及程度还不够理想,”Wright表示。“因此,企业CIO与CISO们仍然高度关注Flash相关安全漏洞,特别是在员工将自有设备接入企业网络的情况之下。我们预计各企业将在未来一年内,将IT安全解决方案方面的投入提升10.7%。其中包括增加用于补丁管理、黑名单创建以及移动应用管理解决方案购买的预算,这将有助于降低由Flash等漏洞频发程序带来的风险。”
2.确保最终用户更新其浏览器
谷歌公司计划在今年年末逐步将Flash Player清理出其Chrome浏览器。Mozilla公司亦宣布在今年年末将除遗留Flash内容外的Adobe Flash清理出其火狐网络浏览器。
Forrester公司的Zelonis指出,“我赞赏谷歌与Mozila这种以客户为中心的决策思路,这将大大减少公共安全事故的发生机率。”
Technology Business Research公司副总裁Stuart Williams亦补充称,“举例来说,Safari与Chrome等多款浏览器目前已经——或者即将——放弃对Flash插件的支持。”
3. 转向HTML 5开发
IDC研究公司西雅图分部项目主管Al Hilwa解释称,众多具备Flash技能的开发者及设计师都已经投向HTML 5怀抱,但其中大多数表示Flash的部分功能仍然无可替代。问题在于,目前仍有众多网站在使用由Flash开发的内容,特别是对应格式的视频资源。为了访问此类内容,Flash仍然必须存在; 不过随着时间推移,这个问题将逐步得到解决。
“大多数企业软件已经不再依赖于Flash,”Hilwa表示。“除了少数例外,即那些尚未被替代的遗留应用。我认为大多数IT组织都了解这个问题,并意识到其必须从长远角度将其解决。Flash采用的插件模式已经被事实证明存在巨大风险且难于保护; 正因为如此,HTML 5原生存在于浏览器内,这种作法更为妥当。”
目前的趋已经非常明确。我们如今使用的界面已经极少使用Adobe Flash。其正迅速被HTML 5所取代。
Fastmetrics.com高级Web开发者兼设计师Florian Lopez亦认为,HTML 5将取代Flash成为新的标准。将CSS与JavaScript乃至jQuery等库相结合,HTML 5能够提供更出色、更快且更为安全的各类设备使用体验。HTML 5亦可用于视频播放器、动画、广告甚至是游戏开发。
“HTML 5在可访问性、性能以及搜索引擎优化(简称SEO)方面的表现非常出色,”Lopez指出。“现在各网站大多通过移动设备进行访问,因此跨设备型技术变得更为重要。另外,由于HTML 5只是HTML语言的另一种版本,因此开发者无需从零开始学习新的语言。目前HTML 5的相关框架多种多样,包括Bootstrap与/或Backbone,这也让网站开发变得更加简单。”
4. 保持耐心
Flash目前仍未彻底消失,HEAT Software USA公司员工产品经理Randy Jessee指出。HEAT公司已经尽可能在自家应用内淘汰掉Flash。另外,亦有相当一部分HEAT公司客户选择在其浏览器中禁用Flash。
根据Jessee的观点,Flash在未来仍会被大量用于众多网站及Web应用程序当中。如果经过正确的补丁修复,Flash本身倒不是什么糟糕的技术方案。然而,由于大多数软件开发商已经将移动端纳入发展规划,而Flash根本无法在iOS平台上运行,因此利用Flash进行开发无疑会限制市场发展空间。因此,HEAT公司的开发人员们通常会回避Flash在新型应用中的使用。
“我们已经发现,HTML 5能够在我们的各项工作中成功取代Flash,”Jessee表示。“另外,其拥有出色的跨设备兼容性。大多数Flash应用程序可以利用Sencha或者Angular JS等框架进行重新开发,这也简化了替换流程。我们目前已经能够100%兼容以往利用Flash开发的组件,并在HTML 5中找到其替代方案。”
Fastmetrics公司高级网络工程师Chris Ajello亦赞同Lopez与Jessee的说法。“目前的趋已经非常明确。我们如今使用的界面已经极少使用Adobe Flash。其正迅速被HTML 5所取代。”
总结陈词
Adobe公司发言人Devon Smiley表示,“正如2015年11月作出的声明,Adobe公司支持Open Web标准并认为HTML 5将成为未来的核心Web平台。Adobe公司与Mozilla、谷歌、微软、Facebook以及其它厂商保持紧密合作,旨在进一步推动上述开放标准的普及。这是一场行业范围内的大规模变革,而Adobe公司则在这方面投入了大量资源。”