Flash畫上休止符，續用有沒有價值？

Flash完全死亡尚需時日

1月12日上午8：15之后，東北大連火車站的計算機操作系統發生故障，調度員的瀏覽器未加載火車時刻表詳細信息。6個小時后，調度員又失去了從Web應用程序打印火車數據的功能，工作人員在微博上小小地吐槽了一下。“罪魁禍首”似乎是互聯網上的一次令人遺憾但并非不可預見的轉變：Adobe Flash Player的停擺。

2020年結束，Adobe對其懷舊風格的多媒體平臺的支持已完全結束。1月12日，Adobe采取了進一步措施，觸發了它已經在Flash更新中分發了幾個月的終止開關，阻止了內容在播放器中運行，從而使軟件無法運行。

事情不算太突然，該公司多年來一直在警告過渡期的用戶，來自Adobe的官方聲明這樣提醒：“Flash Player 于2020年12月31日停止支持。”Adobe已徹底停止Flash的技術支持，而在2021年1月12日后，還將阻止Flash Player播放Flash內容，并建議所有用戶盡快卸載Flash以保護計算機安全。Flash“退役”意味著，早期基于Flash開發的眾多內容如游戲、網站、視頻等，都將徹底消失并逐漸被遺忘。

部分學校的網站還在使用Flash

但是2021年1月22日，Adobe官方微博又補充，稱“根據Adobe和重慶重橙網絡科技有限公司的戰略合作，自2021年起，重橙網絡將繼續長期支持Flash Player在中國大陸地區的獨家發行與維護工作。Flash Player在中國大陸地區仍可繼續正常使用，用戶可前往Flash中國官網（flash.cn）下載最新版本的Flash Player”。

如此可見，和 Windows 7 一樣，官方層面的“死亡宣判”并不意味著Flash就徹底被咔嚓了。由于國內相對特殊的互聯網環境，想要徹底和 Flash 技術說拜拜可能還沒有這么快，作為一項曾經相當普及的多媒體技術，Flash在一些尚未進行技術升級的政企網站、電視直播和企業內網業務培訓等等頁面中，都還有著相當高的出場率。

如何在這個后 Flash 時代繼續使用這項“過時”的技術呢？有用戶選擇留在舊版或者使用國內瀏覽器。沒錯，如果你不在意新系統、新特性和瀏覽器的安全性，選擇支持 Flash 的舊版操作系統和瀏覽器自然可以解決上述問題。

Adobe停止Flash的技術支持，世界各地的電腦系統中問題不斷

操作系統這邊，目前微軟僅向 Windows 8.1 和 Windows 10 推送“刪除 Flash 組件”更新，而已經停止支持的 Windows 7 并不在該更新的推送范圍之內。

瀏覽器方面，只有采用 Chromium v88（Google主導開發的網頁瀏覽器）以上版本（包含 v88）內核的瀏覽器不再支持 Flash，而只要低于該版本都可以繼續加載Flash 組件。

相比國外各大瀏覽器廠商都緊跟 Chromium 上游版本，目前國內的各大瀏覽器的 Chromium 版本還停留在v80 之前。雖然從安全性以及新技術應用上稍顯落后，但放在 Flash 支持上反而變成了一大優勢。因此如果你主要用瀏覽器訪問國內的網絡服務，那么選擇合適順手的國產瀏覽器即可。

例如QQ瀏覽器最新的 Chromium 版本還停留在 v70，在安裝時會詢問是否安裝 Flash，并且經過測試勾選 Flash 后會安裝的版本其實就是國產特供版的 Flash（雖然看簽名依舊是 Adobe），但好處是并不會像獨立安裝特供版 Flash 那樣植入廣告組件（獨立安裝中國特供版Flash Player會被系統安全軟件直接攔截）。

這個方案的優勢是完全不用折騰，尤其是適合瀏覽器主要用來訪問國內互聯網服務的朋友，而且幾乎不存在瀏覽器或者使用習慣上的適應調整。當然如果你主力瀏覽器使用的是 Edge 或者 Chrome 的話，這個方案實際上為系統多安裝了一款瀏覽器，并引入了潛在的瀏覽器廣告彈窗等一系列隱私問題，同時也不適用于 macOS 用戶（僅限 Windows 系統）。

Flash的安全漏洞問題仍不容忽視

讓Flash徹底消失的口水仗中，業界最詬病的是其安全漏洞問題，之前的一份聲明是這樣陳述的：“Flash播放器是世界上最普遍、最廣泛分布的軟件之一，并且也因此成為了惡意黑客攻擊的目標。我們正在積極努力提高Flash播放器的安全性，就像我們在此事中所做的一樣，將致力于快速解決黑客所發現的問題。”

然而，無論Adobe公司對于Flash播放器的安全性有多積極多努力，似乎都是不夠的。利用這些存在于瀏覽器中的漏洞推送惡意軟件和勒索軟件的代碼包Exploit kits已經通過Flash感染了無數的網站，漏洞如此頻繁在Flash中被發現，簡直成了它的一大特色。

重橙網絡成為Adobe在游戲領域的全球戰略合作伙伴，使得中國大陸地區用戶仍可以繼續使用Flash Player提供的相關服務

Flash播放器對于攻擊者來說是個非常有趣的攻擊目標，因為它真的是無處不在，并且運行在所有的主流瀏覽器中。除了頻繁爆出的Flash零日漏洞，許多終端用戶仍在使用老版本的Flash插件，從而成為了漏洞利用代碼作者們首選的利用軟件。

因此，即便Adobe不斷發布其Flash插件的安全新版本，也不能保證其用戶會下載更新。就算Adobe能盡快解決這些麻煩，還會有更多的問題冒出來，就像打地鼠游戲一樣沒完沒了。Flash插件雖曾帶給用戶無盡樂趣，但必將在人們對安全問題越來越重視的今天被用戶所拋棄。

不少人對Flash退出歷史舞臺的態度還有些猶豫不決，但對安全專業人員來說，讓Flash這種充滿各種安全問題的插件退出歷史舞臺卻是眾望所歸。防病毒軟件制造商PC Matic的首席執行官羅伯·鄭說：“數十年來，Flash一直是一個巨大的安全漏洞，整個網絡的犯罪分子一直在利用使用該軟件的人。”

好消息是隨著Flash生命周期結束的臨近和用戶的流失，研究人員表示，攻擊者逐漸減少了尋找和利用該軟件中的新漏洞的興趣。被黑客廣泛濫用的最新Flash漏洞之一是2019年1月披露的內存漏洞，可以利用該漏洞控制目標設備。

反病毒公司Malw arebytes的威脅情報主管杰羅姆·塞蓋拉說：“最近，漏洞利用工具包的作者開始逐漸擺脫Flash漏洞利用。”不過他指出，Flash Player插件之所以特別吸引人，是因為它與投放在線廣告的廣告商關系親近。

威脅追蹤公司Binary Defense Systems的首席執行官大衛·肯尼迪說：“即使Flash停止運行，它也會存在好幾年。”“許多系統和應用程序仍在大量使用它，而更新這些系統和應用程序可能會非常昂貴，或者公司可能會基于Flash建立自定義應用程序。因此，在不接收更新或不經常檢修的系統中，應用仍然存在。”

無論是遺留在永遠在線的基礎架構中的古老工業控制軟件，還是物聯網設備中歷史悠久的網絡協議，不再受支持且無法接收補丁的舊版軟件都不可避免地會成為網絡安全問題。比如微軟的Windows XP擁有如此多的Bug，以至于該公司多次發布針對操作系統的關鍵補丁程序，在正式終止之后還支持了數年。

關于Flash的熱門問答

Q（周康）：大部分電腦都在去年12月31日停止支持Flash Player，并禁止下載以及安裝新的程序。但中國官方版本Flash有一部分還在使用，代理商重慶重橙將會繼續支持Flash，能介紹一下停用Flash背后的原因嗎？

A（山水科技軟件工程師：張開靈）：基于全球應用，Flash被停用，是因為由1996年開始普及的Flash本身設計上有難以補救的結構缺陷，再加上HTML 5 日漸普及，可以做到絕大部分Flash 可以做的事，但比Flash更快更安全，而且不用額外安裝軟件。Flash的開發公司，若花九牛二虎之力去補救Flash的缺陷，則既愚蠢又昂貴。因此，在三年前已經公布將有計劃停用Flash。理論上，用戶有足夠時間改用HTML 5取代，故Flash停用后不需要冒險使用。

Q：不少網站仍然使用Flash程序，一旦有需要瀏覽Flash內容，又該怎樣辦？

A：在電腦上盡量不要處理任何涉及個人隱私或敏感的活動，除非一些必須使用到的服務，比如瀏覽Flash內容。因為新版操作系統會主動清除Flash程式，或阻止Flash程式執行，所以必須使用舊版操作系統。由于舊版操作系統使用重橙版本的程序，所以這部電腦并不適合做其他重要的操作，有漏洞風險。

Q：在徹底放棄使用Flash之后，在開放源碼群體有人開發Flash的兼容播放程式，這會否成為解決Flash安全問題的折中方案？

A：開放源碼群體的程序，沒有解決Flash的先天缺陷。Flash的開發者采用如此“決絕手段”放棄整個Flash產品，有其安全考慮。除非開放源碼群體出現一群絕頂高手，能找到徹底解決Flash先天問題的妙招，否則兼容程式不見得會是解決Flash問題的安全方案。而且，開放源碼群體并未獲得Flash開發公司提供技術資料，他們是用逆向工程方式寫出播放程式，一定做不到百分之百兼容，其產品可能只能執行簡單Flash程式或播放Flash片段，但一些相對復雜的操作，不一定能控制。因此，Flash的兼容程序未獲得開放源碼社群大力支持，是有技術上的原因。