Flash必死无疑（flash bypass）

Brain Barrett

Getty Images

Adobe Flash——这个不安全的，人见人厌的，到处啃食系统资源的肥猪——再一次地面临危，真希望这是最后一次。最近一些最具实力的互联网大亨发出了让它快退休的呼声。但如果来自Facebook，Firefox和大批心怀不满的用户的联合唱衰起不了什么作用的话，那么就向下滚动看看怎样靠自己把它从你的设备上移除。

你为什么想移除它呢？

就是因为应用于网站的Flash封闭的私有化的体系，而这个体系理应是一个公开的标准。作为黑客们的出气筒即攻击对象，它把用户一再地置于风险之中。并且这还是个占用资源的耗电大户，而且你发现最多的是你从不想见的弹窗广告。

这个星期，随着新的Flash漏洞的发现，Facebook的首席安全官Alex Stamos主张宣判Flash以死刑，并且在本周一晚Mozilla以默认设定的方式在其Firefox浏览器中禁用了该插件所有的现有版本。就连Google也正在限制Flash的作用；上个月，Google宣布未来版本的Chrome浏览器在不影响网站核心体验前提下将“智能地停用”以Flash为基础的内容（比如视频广告）。

但这并不意味着Flash的末日将到来……至少现在还不会。Facebook在某些浏览器上仍然在使用Flash播放视频，而且在星期三，当安全更新到来时，Firefox也恢复了对Flash的支持。然而有一点非常明确：客观地说Flash的不足远远多于它的价值。这种情况还将会持续一段时间。

在网络上对Flash的抵制一直存在，暗流涌动；甚至还存在一个，“占领Flash”的活动，这个活动宣扬的目标十分明确且温和“让全世界用户把Flash Player插件从他们的电脑上卸载掉”。实际上，自从Flash被初代iphone拒之门外，对Flash的唱衰就一直流行着。Steve Jobs曾在2010年四月发表了一封著名的公开信，解释他为什么不让Flash进入任何一个Apple的移动产品，着重强调了对开放性，安全性的忧虑以及它对电池寿命的影响。

五年之后，抵制Flash事件大体上没有变化——还有安全是最迫切最重要问题。毕竟，导致Mozilla在Firefox上禁用Flash的新关键漏洞已经是这一周第三次发现的同类问题了，这个漏洞还造成了一家富有争议的数字监控公司Hacking Team的数据泄露。

当我们和Adobe接触询问到这些安全漏洞的问题以及越来越强的要求Flash彻底消失的呼声时，一位代表向我们展示了一份声明说公司已经将问题解决并且推送了一个更新。关于它的安全问题大体上是这样说的：

“Flash Player是世界上运用最普遍分布最广的软件之一，正是如此，它也是那些不怀好意的黑客们的攻击目标。我们正积极地致力于提高Flash Player的安全性，就像在此次事件中，当问题被发现后我们迅速地解决了它。”

然而不管Adobe如何积极地应对Flash Player的安全问题，似乎都是不够的。这个星期最新的一系列安全问题的误判其实已经困扰Flash多年了。Exploit kits（软件攻击套件）——利用此类存在于浏览器中的漏洞传播恶意软件和勒索软件的代码包——通过Flash流窜于众多网站之间。所谓的零日漏洞（一种黑客在软件公司之前发现的漏洞）竟如此有规律在Flash中被发现，简直就像它的一大特色。

“Flash Player是攻击者特别喜欢的一个靶子，因为它实在是太普遍了，应用在所有的主流浏览器中，” Jér^ome Segura说，他是Malwarebytes（恶意程序清除大师）里的高级安全研究员，“除了零日漏洞外，有许多用户还在使用老版本的Flash软件，这就解释了为什么自动攻击软件套件的编写者最中意的软件是Flash。”

最后一点是关键；Adobe在发布一个安全的新版本的Flash时，不能确保它的用户下载它。

纵使Adobe能及时地解决难题，但还会有更多冒出来。这是一个永无止境的打地鼠游戏，伴有有趣的转折，但最终还是会失败。

Segura对Flash是否应该彻底消失感到很矛盾。“就目前来看最负责的做法就是让它消失，”他说，“但同样我认为这是或许是目光短浅的做法。毕竟，这些存有恶意的人很轻易地就能把视线转移到其他目标上去。”

但好消息是，你不必等着Adobe的业务终止。你可以自己动手。

怎样摆脱Flash

首要前提：你可以自己做到！真的。事实上，你很有可能已经做了，在你的手机上。正如我们说过的，IOS早在多年以前就把Flash踹出门外了，Android也在2012年有样学样。（Adobe AIR（奥多比集成运行时））是允许开发者在IOS和Android的应用中使用Flash内容的；我们现在说的不是更普遍的已经被这两个平台所抛弃的Flash Player插件。）

早期的iphone，在没有Flash时稍微有点恼人。一些网站打不开，一些视频放不了。但是在今天，比起手机网站你更有可能在talking dog上遇到因缺少Adobe产品而无法运行的问题。

同样，在电脑上这点也渐趋明显，很大一部分原因归功于HTML5的稳定发展，公开标准广泛受到视频网站的欢迎（在一月，YouTube把它设为默认使用；甚至更早的，Netflix从微软的Sliverlight转向HTML5）。游戏界也做出了小小的让步；在2013年Unity游戏引擎斩断了和Flash的联系。

当然，仍然有许多Flash Player的拥护者；还有很多休闲类游戏，亚马逊在线电影服务（至少在Chrome上是这样；而Firefox，Safari及Internet Explorer还在使用Sliverlight），数不胜数的视频弹窗广告。They’re the sort of internet items, though, that you can go for days if not weeks without encountering, or caring that you’ve missed.(真是编都编不出这句的翻译)根本原因：虽然Flash在电脑上风光一时，但现在可不是了。你甚至可能都不会察觉到它的离开。

那么好！准备好了吗？我们开始吧，按浏览器划分方法。

Chrome:Go tochrome://pluginsin your search bar. Scroll down toAdobe Flash Player. ClickDisable.

Safari:Go toSafari > Preferences. ClickSecurity. ClickManage Website Settings. ClickAdobe Flash Player. Go to theWhen visiting other websitesdropdown and clickBlock.

Firefox:Go to the hamburger iconin the upper righthand corner. ClickAdd-ons. Go to the lefthand column and clickPlugins. Go to the dropdown next to Shockwave Flash and select Never Activate.

Internet Explorer:Go to thegear iconin the upper righthand corner. ClickInternet options. ClickPrograms. ClickManage add-ons. ClickShockwave Flash Client. In the lower righthand corner, clickDisable.

你完成了！你也可以按照这些链接彻底从Mac和Windows上彻底卸载Flash，你也会省去许多潜在的麻烦和时间——收获相同的好处——通过制定全局性的针对特定浏览器的外科手术式的整治。

感觉不错？必须的！记住Segura是对的；不是只有Flash易受到攻击，而且如果它真的彻底地消失了，你也需要在其他地方加大警惕性（看啥？就是你，Java）。

与此同时，万一发现你自己非常想念Flash，你可以随时还原。至少，在占领Flash之前——它在Facebook还是其他地方的小伙伴——最终是会找到它们的出路的。

翻译：互译

2015年7月20日星期一