Pages

Sunday, 27 December 2020

正版Flash成历史 国产版存在安全大患 用户慎用

 问:海外的电脑,大部分都准备在12月31日停止支援Flash Player,并从明年开始禁止下载以及安装新的程式,去到明年1月12日将全面停止运作。只不过,中国是世界几乎唯一一个国家,仍然有官方版本的Flash使用,因为重庆重橙将会继续支援Flash。能否介绍一下停用Flash背后的原因,以及中国版Flash的安全性?

李建军:首先,在全世界各国,Flash都被停用的原因,是因为由1996年开始普及的Flash,本身设计上有难以补救的结构缺陷,再加上HTML 5 日渐普及,可以做到绝大部分 Flash 可以做的事,但比Flash更快更安全,而且不用额外安装软件。Flash的开发公司,若花九牛二虎之力去补救Flash的缺陷,则既愚蠢又昂贵。因此,在三年前已经公布将有计划停用Flash。理论上,用户有足够时间改用HTML 5取代,故Flash停用后也不需要冒险使用。

而Flash公司停止更新后,中国重橙有可能继续对Flash作出一些补救,但重橙的技术能力,能否补救连原创公司都补救不到的技术漏洞?这一点十分值得怀疑。更何况,重橙的特别版本本身就有保安疑虑,例如弹出一些不请自来的广告,或者执行一些正常Flash版本不会执行的程式等等。因此,对大部分用户而言,在全世界普遍都因保安理由停用Flash时,并没有必要使用中国重橙的特别版本。停用Flash是比较对自己有保障的做法。

问:但中国有个别网站,特别公务相关的网站,有不少仍然使用Flash,一旦有需要浏览Flash内容,又该怎样办?

李建军:面对这个问题,最有效的方法是特别买一部电脑,在这部电脑上不要处理任何涉及个人私隐或敏感的活动,专门用来处理一些必须使用的政府服务,譬如浏览Flash内容,而且这部电脑必须使用旧版作业系统,因为新版作业系统会主动铲除其馀Flash的程式,或阻止Flash程式执行。而且旧电脑的Flash,并不应该使用近月升级的海外版,而是使用中国重橙公司的特别版。因为近月升级的海外版,都内有特定程式,会于明年1月12日阻止任何Flash档案的播放,或Flash程式的执行。

由于使用旧版作业系统以及使用重橙的中国版本程式,所以这部电脑并不适合作其他重要的操作,因为旧作业系统,以及重橙版本的Flash两者都是十分之危险程式,可能会令你的系统有保安风险。

问:在彻底放弃使用Flash与使用国产Flash之外,在开放源码群体,都有人开发Flash的兼容播放程式,这会否是解决Flash问题的相对安全的折中方案?

李建军:开放源码群体的程式,当然不会像重橙的程式般,会加入你不想看的东西。但开放源码群体的程式,仍然未有解决Flash的先天缺陷。Flash的开发商采用如此决绝手段放弃整个Flash产品,有其保安考虑。除非开放源码群体出现一群绝顶高手,能找到彻底解决Flash先天问题的妙招,否则,兼容程式不会见得是解决Flash问题的安全方案。而且,开放源码群体并未有获Flash开发公司提供技术资料,他们是用逆向工程方式写出播放程式,换言之,一定做不到百分百兼容,其产品可能能够执行简单Flash程式或播放Flash片段,但一些相对复杂的操作,就可能出现一些未能控制的情况,甚至造成新的保安漏洞。因此,Flash的兼容程式亦未有获开放源码社群大力支持,亦有技术上的原因。

问:Flash会否一如以往MSN Messenger一样,在海外结束服务后一至两年,都在中国消失?

李建军:不一定,中国有可能让Flash存在一段相对长的时间。因为有部分政府部门或企业仍然坚持使用Flash,这背后并非成本或程式兼容原因,毕竟HTML 5几乎可以做到Flash所有做到的事。这些公司或部门背后目的反而可能正是要利用Flash的保安漏洞图利,这种行为甚至可能得到官方默许——这种荒谬的事情,的确可能出现于今日的中国。这亦是中国互联网使用者的无奈,因为有部分旧有技术,是因政府监控的需要而继续存在

Flash Player最初由Macromedia编写,后被Adobe收购。近年Flash Player成为黑客目标。因此,Adobe宣布,今年12月31日后将终止支持Flash Player。

No comments:

Post a Comment