Featured image of post Flash——早该覆灭的王朝

Flash——早该覆灭的王朝

你永远活在我们的记忆里,或是那一个个网页小游戏,或是厌恶至极的网页广告都将会成为我们津津乐道的往事。

Flash Player是一个耳熟能详的名字。1997年问世Flash陪伴着一代网民的成长,这其中就包括了00后的我。Flash由著名公司Adobe运营并开发,内置了脚本语言AS,由于其使用矢量图形实现数据最小化,在低速互联网时代成为了开发互联网应用程序、视频音频的绝佳工具,甚至沿用至今。

Flash——早该覆灭的王朝

Flash——早该覆灭的王朝

为什么我们要弃用Flash?

于官方宣传全球十几亿用户的光环下,2010年4月Apple前CEO史蒂夫·乔布斯发表了一封著名的公开信,批评了Flash的安全性和稳定性,并指出不会在任何Apple的移动端设备上支持Flash。在此之前的二月,Adobe因为没能修复Flash已知漏洞一年而道歉。

由于Flash数以百计的安全漏洞,昔日的王者竟成了骇客的温床——2009年Adobe公司亲自承认“Flash Player所列出的所有互联网技术(包括网络插件和浏览器)的漏洞数量排名第二”。著名安全公司卡巴斯基也于2012年的报告指出“Flash Player漏洞使网络犯罪分子能够绕过集成到应用程序中的安全系统。”随后曝光的漏洞“Magnitude”又能轻易地让骇客远程执行代码。

可以说安全性是Flash最大的问题,然而弃用Flash的理由远不止这一点——Flash的隐私性同样被人诟病。

Flash——早该覆灭的王朝

Flash在计算机本地保存数据,由于站点可以通过Flash cookies检索其他站点保存于本地的用户信息,例如身份验证信息、游戏高分或保存的游戏、基于服务器的会话标识、站点首选项、已保存的工作或临时文件,从而建立用户档案,甚至出售用户数据。如今在Chrome等著名浏览器的最新版本中Cookies的本地储存功能已被禁用。

随着比Flash更优秀的后来者HTML5标准制定的完成,Flash的处境显得尴尬透顶。根据Wikipedia的释义:“HTML5是HTML最新的修订版本,由万维网联盟(W3C)于2014年10月完成标准制定。目标是取代1999年所制定的HTML 4.01和XHTML 1.0标准,以期能在互联网应用迅速发展的时候,使网络标准达到匹配当代的网络需求。广义论及HTML5时,实际指的是包括HTML、CSS和JavaScript在内的一套技术组合。它希望能够减少网页浏览器对于需要插件的丰富性网络应用服务(Plug-in-Based Rich Internet Application,RIA),例如:Adobe Flash、Microsoft Silverlight与OracleJavaFX的需求,并且提供更多能有效加强网络应用的标准集。”

用浅显易懂的话来概括,即“HTML5是一种功能上能代替Flash,性能、安全性及隐私性均大幅超过Flash的标准”。

最近Flash发生了什么?为什么重新被推上风口?

2018年2月28日,上海剑圣网络科技有限公司(即2144游戏)宣布获得了Adobe Flash Player在中国大陆地区的独家代理发行权。中国大陆的用户在访问Adobe Flash Player的下载页面时,将强制跳转到2144域名下的下载页面,同时会默认捆绑2144游戏中心,且取消捆绑安装的复选框位置隐蔽。近日网友发现大陆定制版Flash用户协议区域比Adobe公司的原版下载页面多了一条的《Helper Service服务协议》。

该协议的其中一部分写道:

2.2只要用户开始使用程序,即表示用户无条件的接受了本协议的相关规定并愿意受其约束,否则用户无权使用程序。

3.1这款程序是重橙提供的一款为用户更好的使用Adobe Flash Player的必要程序,没有程序,Adobe Flash Player无法运行。其功能包括但不限于辅助Adobe Flash Player的更新升级等。

3.3用户同意本协议,使用程序,表示重橙已经明确告知用户,随着Adobe Flash Player版本的更新,程序将会自动静默安装新版本的Adobe Flash Player。

5.1用户同意本协议,使用程序,表示重橙已经明确告知用户,在用户使用Adobe Flash Player过程中,重橙可能会通过该程序收集用户的上网信息,以便为用户提供更好的产品和/或服务并改善用户体验。

5.2重橙承诺采取必要措施保护用户存放在服务器上的个人数据及收集到的用户上网信息的安全。除本协议约定的除外情况,重橙保证不对外公开或向第三方提供、公开或者共享用户的数据及上网信息。

5.3以下情况,重橙对用户的个人数据及上网信息的披露将不视为违约,具体包括:

(1)重橙已经获得用户的明确授权;

(2)根据有关法律法规的要求,重橙负有披露义务的;

(3)司法机关或行政机关基于法定程序要求重橙提供的;

(4)为维护社会公共利益及重橙合法权益,在合理范围内进行的披露;

(5)重橙可能会和第三方合作向用户提供相关网络服务或者其数据收集工具用以完善自身服务,在此情况下,如该第三方愿意承担与重橙相等的隐私保护责任的,则重橙可在合理范围内对用户信息进行披露;

(6)其他必须披露用户数据和上网信息的情况。5.4尽管重橙已经为用户的隐私权做了极大努力,仍然不能保证现有的安全措施使用户数据等不受任何形式的损失。用户对此情况充分知情,且不会因此追究重橙的法律责任。

经过简单的阅读就可以轻易得知,该公司按协议收集用户数据时、或是不慎将用户隐私泄露后也不愿负任何法律责任。

按Wikipedia的记录,中国大陆用户最后一个能正常安装使用的ActiveX和NPAPI版本是28.0.0.137,之后的版本均带有2144的进程“FlashHelperService.exe”,且无法关闭,如果关闭进程则Flash内容就会拒绝显示。Google Chrome自带的PPAPI版本不受影响。从Flash Player 30起,中国大陆的ActiveX、NPAPI和Win10上的PPAPI版本开始实行锁区策略,分成了全球版和大陆版两个独立的版本,即大陆用户无法安装运行全球版,中国大陆以外的用户无法安装运行大陆版。

在此事被曝光不久后中国定制版的Flash立即修改了用户协议,可谓是做贼心虚。除此收集隐私以外,经过笔者的实际测试,中国定制版的Flash时不时会给你于桌面右下角推送广告。

当然对此IT之家也给出了相应的解决方案,我不敢对此妄加评论(原因参照知乎),但是我只想说一下这件事情和一家名叫“苏州思杰马克丁”的公司有着千丝万缕的关系,感兴趣的朋友可以在知乎、Google上阅读相关内容。

弃用Flash的道路依然艰险

正是由于Flash的种种缺点,正是由于HTML5的种种优点,处于糟糕的国内互联网生态下,HTML5始终得不到全面推广,Flash依然广泛使用。Flash是网页牛皮藓们——贴片小广告的最爱,同时仍是少数几个国内视频网站的盈利大杀器。当你屏蔽了Flash,你也许会感觉整个世界都清净了。

Flash——早该覆灭的王朝

每当我想要看CCTV5直播时,打开央视电视直播就必须启用Flash;打开教育局官网查询比赛程序,却发现网页内容七零八落——同是没启用Flash。在国际上极度打击Flash,Google、Microsoft、Facebook和Apple等强强联手推广HTML5时,国内生态让人心寒。多数国产主流浏览器仍默认启用Flash插件,流氓软件横行,网络安全更是无处谈起。同国内的Android生态一样,Windows生态也很糟糕,Flash仍是主流。在此特别点名表扬哔哩哔哩、微博(手机网页端)等国内优秀的HTML5站点,也希望这些站点能高举新技术好生态的旗帜,给中国网民更好的互联网环境。

另外值得一提的是,我国落后的信息技术教育助长了互联网流氓的嚣张气焰。作为一名准高中生,我发现我们的高中重要课程“技术”依然教授着古老的“Flash CS3”这种被淘汰了不知道多少年的课程。如同我当年学习信息奥赛时使用的、至今仍被传授给广大学生的古董级语言Pascal(不过即将被取缔),我不希望10后、20后继续学习诸如这类出现在父母大学课本里的古老“高新技术”。

22年了,Flash。你的时代,你的王朝已经结束了。

Flash——早该覆灭的王朝

你永远活在我们的记忆里,或是那一个个网页小游戏,或是厌恶至极的网页广告都将会成为我们津津乐道的往事。

我希望和你说再见。

Login