翻墙问答:有保安漏洞的Flash修补后是否值得再用?

问:最近Flash因保安漏洞关系,曾一度被Chrome以及Firefox两大浏览器封锁,直至Adobe推出更新后,两大浏览器的升级版才恢复让Flash使用。Flash出了什么问题,令两大浏览器阵营以如此严重的态度去对待Flash?

李建军:最近维基解密公布了一批由意大利Hacking Team公司内部主机外流的文件,Hacking Team是一间售卖黑客软件的公司,他们软件的销售对像,主要是各国政府,台湾警方以及香港廉政公署都一度是潜在客户。 Hacking Team旗下的监控软件,可说是全世界各地网民在私隐和网络保安上一大威胁。

而根据维基解密最新公布的文件,Hacking Team利用Flash几乎所有版本上的漏洞,进行远程监控,甚至攻击。因此,这个漏洞经维基解密公布之后,不单引起很多网络保安公司的注意,更恐怕不少黑客利用这个漏洞,大举偷取浏览器用户的个人资料,因此,无论Chrome还是Firefox,都立即封锁了Flash插件,直至Adobe公司推出新版本插件,证实已经填补了相关的保安漏洞,Chrome和Firefox才让最新版的Flash插件可以安装和使用。

问:Flash推出了新版插件后,是否代表已经安全,还是还有其他保安漏洞仍然存在,威胁用户的私隐?

李建军:这次Adobe公司推出的新版插件,主要解决最重要已经被Hacking Team应用在软件上的保安漏洞,以及另一个由Hacking Team发现,但未被应用的概念漏洞。但由于保安公司于Hacking Team的文件中,发现了第三个漏洞,而这个漏洞Adobe未赶及在软件更新中加入,因此,推出新版插件后,都不代表百分百安全,如果你对Flash的保安情况有所疑虑的话,你可以继续在Chrome和Firefox中继续封锁Flash的插件,甚至在Safari和IE中删去所有Flash插件。

问:苹果iPhone和iPad一直不愿意支援Flash,其实一个原因就是与保安有关。那现时Flash有如此大的保安漏洞,是否代表应该跟随苹果的步伐,不再使用Flash?那现时有什么Flash的替代技术?

李建军:苹果一直以来都主张以业界标准的HTML5技术,取代Flash在视频播放以及网页互动功能上扮演的角色。由于HTML5是内置于浏览器内,并非额外插件,因此,无论在保安上,还是效能上都会比较理想。只不过苹果决定不支援Flash的时候,当时很多浏览器都未支援HTML5 或对HTML5的支援不完善,因此Flash仍然扮演重要角色。

但时至今日,主流的浏览器都已经支援HTML5,现时YouTube在可能的情况下,都会使用HTML5来播放,并非Flash。而可以肯定,中国当局有可能利用Flash的漏洞来窃取网民资料,甚至对网民暗中作出监控。因此,尽量放弃浏览使用Flash技术的网页,或浏览Flash的网页时使用另一个浏览器,避免用同一浏览器浏览涉及机密的资料,相信是比较能保护自己安全的做法。

问:那其实Flash是否已经完全没有价值,可以删除?

李建军:现时西方不少网站,都已经不再使用Flash提供视频以及网站互动等方面的功能,不少中国主流的视频网站,其实都有HTML5的版本,配合iOS设备的需要。反而是不少企业网站,由于仍然坚持用Flash来提供互动效果,甚至整个网站相当大部分都是由Flash写出来,因此,Flash的重要性虽然己经不大如前,但在中国而言,仍未到可以完全放弃Flash的程度。

但随这次危机的出现,相信会有更多网站会在消费者压力下放弃Flash,而陆续改用HTML5,短期内未必能完全放弃Flash,但长远而言,全面改用HTML5,令用户的私隐更有保障,应是大势所趋。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-flashbug-07172015082401.html?encoding=simplified

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s