翻牆問答: 有保安漏洞的Flash修補後是否值得再用?


2015-07-17
Share

問:最近Flash因保安漏洞關係,曾一度被Chrome以及Firefox兩大瀏覽器封鎖,直至Adobe推出更新後,兩大瀏覽器的升級版才恢復讓Flash使用。Flash出了什麼問題,令兩大瀏覽器陣營以如此嚴重的態度去對待Flash?

李建軍:最近維基解密公布了一批由意大利Hacking Team公司內部主機外流的文件,Hacking Team是一間售賣黑客軟件的公司,他們軟件的銷售對像,主要是各國政府,台灣警方以及香港廉政公署都一度是潛在客戶。 Hacking Team旗下的監控軟件,可說是全世界各地網民在私隱和網絡保安上一大威脅。

而根據維基解密最新公布的文件,Hacking Team利用Flash幾乎所有版本上的漏洞,進行遠程監控,甚至攻擊。因此,這個漏洞經維基解密公布之後,不單引起很多網絡保安公司的注意,更恐怕不少黑客利用這個漏洞,大舉偷取瀏覽器用戶的個人資料,因此,無論Chrome還是Firefox,都立即封鎖了Flash插件,直至Adobe公司推出新版本插件,證實已經填補了相關的保安漏洞,Chrome和Firefox才讓最新版的Flash插件可以安裝和使用。

問:Flash推出了新版插件後,是否代表已經安全,還是其他保安漏洞仍然存在,威脅用戶的私隱?

李建軍:這次Adobe公司推出的新版插件,主要解決最重要已經被Hacking Team應用在軟件上的保安漏洞,以及另一個由Hacking Team發現,但未被應用的概念漏洞。但由於保安公司於Hacking Team的文件中,發現了第三個漏洞,而這個漏洞Adobe未趕及在軟件更新中加入,因此,推出新版插件後,都不代表百分百安全,如果你對Flash的保安情況有所疑慮的話,你可以繼續在Chrome和Firefox中繼續封鎖Flash的插件,甚至在Safari和IE中刪去所有Flash插件。

問:蘋果iPhone和iPad一直不願意支援Flash,其實一個原因就是與保安有關。那現時Flash有如此大的保安漏洞,是否代表應該跟隨蘋果的步伐,不再使用Flash?那現時有什麼Flash的替代技術?

李建軍:蘋果一直以來都主張以業界標準的HTML5技術,取代Flash在視頻播放以及網頁互動功能上扮演的角色。由於HTML5是內置於瀏覽器內,並非額外插件,因此,無論在保安上,還是效能上都會比較理想。只不過蘋果決定不支援Flash的時候,當時很多瀏覽器都未支援HTML5 或對HTML5的支援不完善,因此Flash仍然扮演重要角色。

但時至今日,主流的瀏覽器都已經支援HTML5,現時YouTube在可能的情況下,都會使用HTML5來播放,並非Flash。而可以肯定,中國當局有可能利用Flash的漏洞來竊取網民資料,甚至對網民暗中作出監控。因此,盡量放棄瀏覽使用Flash技術的網頁,或瀏覽Flash的網頁時使用另一個瀏覽器,避免用同一瀏覽器瀏覽涉及機密的資料,相信是比較能保護自己安全的做法。

問:那其實Flash是否已經完全沒有價值,可以刪除?

李建軍:現時西方不少網站,都已經不再使用Flash提供視頻以及網站互動等方面的功能,不少中國主流的視頻網站,其實都有HTML5的版本,配合iOS設備的需要。反而是不少企業網站,由於仍然堅持用Flash來提供互動效果,甚至整個網站相當大部分都是由Flash寫出來,因此,Flash的重要性雖然己經不大如前,但在中國而言,仍未到可以完全放棄Flash的程度。

但隨這次危機的出現,相信會有更多網站會在消費者壓力下放棄Flash,而陸續改用HTML5,短期內未必能完全放棄Flash,但長遠而言,全面改用HTML5,令用戶的私隱更有保障,應是大勢所趨。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

新增評論

請將評論填寫在如下表格中。 評論必須符合自由亞洲電台的 《使用條款》並經管理員通過後方能顯示。因此,評論將不會在您提交後即時出現。自由亞洲電台對網友評論的內容不負任何責任。敬請各位尊重他人觀點並嚴守事實。

完整网站