【51CTO.com快譯】早在七年之前，史蒂夫·喬布斯就宣稱一度炙手可熱的Flash將必然陷入長期且緩慢的衰亡周期當(dāng)中。因此，他決定拒絕在蘋果公司的任何前沿產(chǎn)品當(dāng)中，特別是iPhone與iPad，安裝Flash。喬布斯指出，F(xiàn)lash運(yùn)行緩慢、體積龐大、極為耗電、與觸控屏幕不兼容且存在大量安全問題。

[[178350]]

自那時(shí)起，F(xiàn)lash就一路走向低谷。首先，其中確實(shí)存在大量安全問題; 其次，大約五年之前，互聯(lián)網(wǎng)技術(shù)頭羊Adobe公司宣稱Flash將不再供移動設(shè)備使用。最后，HTML 5于2014年誕生，并成為動畫及游戲等多媒體應(yīng)用領(lǐng)域最為出色的Flash替代性開發(fā)平臺。

根據(jù)Q-Success管理咨詢公司旗下事業(yè)部W3Techs的調(diào)查結(jié)果，五年前Flash占據(jù)著互聯(lián)網(wǎng)中約30%的網(wǎng)站; 時(shí)至今日，這一數(shù)字已經(jīng)下降到不足8%。

然而，F(xiàn)lash仍被互聯(lián)網(wǎng)中的眾多站點(diǎn)所使用，其中包括《紐約時(shí)報(bào)》、salesforce.com、?？怂剐侣?、Spotify以及星巴克等等。另外，盡管Adobe公司承認(rèn)Flash的輝煌時(shí)期早已結(jié)束，但該公司仍在為該軟件提供補(bǔ)丁與更新。面對一系列潛在安全風(fēng)險(xiǎn)，最終用戶也仍然在下載Flash播放器插件。

那么，企業(yè)該如何處理Flash問題。將其徹底屏蔽?逐步淘汰?抑或是讓其在可預(yù)見的未來任何作為遺留軟件存在?

1.份額下降，但仍未徹底退出

[[178351]]

Ray Valdes

“Flash技術(shù)在過去五年當(dāng)中顯然是在不斷衰落，”Gartner公司研究副總裁Ray Valdes表示。“然而，網(wǎng)絡(luò)上仍存在著大量Flash內(nèi)容，包括廣告、尚未更新的遺留內(nèi)容、游戲以及某些應(yīng)用程序。”

Valdes同時(shí)補(bǔ)充稱，在企業(yè)環(huán)境下Flash通常扮演著利基型應(yīng)用角色，類似于Java applets以及基于桌面的Java類應(yīng)用。然而，HTML 5如今已經(jīng)發(fā)展成熟，并能夠全面取代插件性質(zhì)的Flash成為富互聯(lián)網(wǎng)應(yīng)用的首選實(shí)現(xiàn)方案。

Forrester公司高級安全與風(fēng)險(xiǎn)分析師Josh Zelonis表示，F(xiàn)lash的消亡主要源自其糟糕的安全性水平以及Adobe公司于2012年宣布的不再將其投放移動市場的決定。

Zelonis指出，目前近半數(shù)網(wǎng)絡(luò)流量來自移動設(shè)備，因此將Flash從移動端除名意味著其無法成為Web應(yīng)用的普適性開發(fā)平臺。

“不過，我認(rèn)為Flash還沒有到最終滅亡的時(shí)候，”Zelonis表示。“企業(yè)在過去五年中已經(jīng)不再將Flash用于移動瀏覽器，但仍可通過Adobe AIR運(yùn)行其原生應(yīng)用。”Adobe Air是一款強(qiáng)大的工具，曾被用于開發(fā)《憤怒的小鳥》等游戲以及TweetDeck等站點(diǎn)。

在企業(yè)終端上屏蔽Flash

2009年，賽門鐵克公司報(bào)告稱，“Adobe Reade及Flash Player中存在一項(xiàng)遠(yuǎn)程代碼執(zhí)行漏洞，其在當(dāng)年最易受利用的安全漏洞中排名第二”。而這僅僅是個(gè)開始。2010年，Adobe公司遭遇到一系列高危安全漏洞轟炸，其影響平臺遍布Windows、Mac、Linux、Solaris、UNIX以及Android等操作系統(tǒng)及設(shè)備平臺。而根據(jù)卡巴斯基實(shí)驗(yàn)室于2012年發(fā)布的報(bào)告，其有47.5%的客戶曾至少遭遇過一次由Flash引發(fā)的高危安全漏洞。

相關(guān)攻擊活動直到今天仍在繼續(xù)。2016年4月，Windows 10(及更早版本)上的全部Flash Player版本皆受到超過二十項(xiàng)安全漏洞的影響，其中包括一項(xiàng)零日漏洞。隨后發(fā)布的補(bǔ)丁先后解決了內(nèi)存損壞錯誤、堆棧錯誤、類型混淆漏洞、堆緩沖區(qū)溢出以及安全回避漏洞等等。

今年7月，Adobe公司發(fā)布了Flash Player的一套更新版本，其中包含52項(xiàng)其它安全漏洞的對應(yīng)補(bǔ)丁。這些漏洞曾被用于實(shí)施針對性攻擊，并致使黑客得以控制其入侵的系統(tǒng)。直到今年10月26日，Adobe公司還發(fā)布了另一項(xiàng)安全更新。此補(bǔ)丁用于解決Flash Player中的另一項(xiàng)允許黑客遠(yuǎn)程感染系統(tǒng)的漏洞。其受影響平臺包括Windows(7、8.1及10版本)、Mac、Linux以及Chrome OS。

根據(jù)Technology Business Research公司首席安全分析師Jane Wright的觀點(diǎn)，企業(yè)CIO與CISO們紛紛表示Flash已經(jīng)成為幾年來其最為關(guān)注的安全薄弱環(huán)節(jié)。即使安裝了全部現(xiàn)有補(bǔ)丁，黑客仍然能夠找到新的Flash利用途徑并在企業(yè)環(huán)境內(nèi)下載惡意內(nèi)容。

[[178352]]

Technology Business Research公司首席安全分析師Jane Wright

“眾多企業(yè)已經(jīng)依賴于終端安全供應(yīng)商提供的黑名單以阻止員工計(jì)算機(jī)運(yùn)行Flash。不過黑名單在員工移動設(shè)備上的普及程度還不夠理想，”Wright表示。“因此，企業(yè)CIO與CISO們?nèi)匀桓叨汝P(guān)注Flash相關(guān)安全漏洞，特別是在員工將自有設(shè)備接入企業(yè)網(wǎng)絡(luò)的情況之下。我們預(yù)計(jì)各企業(yè)將在未來一年內(nèi)，將IT安全解決方案方面的投入提升10.7%。其中包括增加用于補(bǔ)丁管理、黑名單創(chuàng)建以及移動應(yīng)用管理解決方案購買的預(yù)算，這將有助于降低由Flash等漏洞頻發(fā)程序帶來的風(fēng)險(xiǎn)。”

2.確保最終用戶更新其瀏覽器

谷歌公司計(jì)劃在今年年末逐步將Flash Player清理出其Chrome瀏覽器。Mozilla公司亦宣布在今年年末將除遺留Flash內(nèi)容外的Adobe Flash清理出其火狐網(wǎng)絡(luò)瀏覽器。

Forrester公司的Zelonis指出，“我贊賞谷歌與Mozila這種以客戶為中心的決策思路，這將大大減少公共安全事故的發(fā)生機(jī)率。”

Technology Business Research公司副總裁Stuart Williams亦補(bǔ)充稱，“舉例來說，Safari與Chrome等多款瀏覽器目前已經(jīng)——或者即將——放棄對Flash插件的支持。”

3. 轉(zhuǎn)向HTML 5開發(fā)

IDC研究公司西雅圖分部項(xiàng)目主管Al Hilwa解釋稱，眾多具備Flash技能的開發(fā)者及設(shè)計(jì)師都已經(jīng)投向HTML 5懷抱，但其中大多數(shù)表示Flash的部分功能仍然無可替代。問題在于，目前仍有眾多網(wǎng)站在使用由Flash開發(fā)的內(nèi)容，特別是對應(yīng)格式的視頻資源。為了訪問此類內(nèi)容，F(xiàn)lash仍然必須存在; 不過隨著時(shí)間推移，這個(gè)問題將逐步得到解決。

“大多數(shù)企業(yè)軟件已經(jīng)不再依賴于Flash，”Hilwa表示。“除了少數(shù)例外，即那些尚未被替代的遺留應(yīng)用。我認(rèn)為大多數(shù)IT組織都了解這個(gè)問題，并意識到其必須從長遠(yuǎn)角度將其解決。Flash采用的插件模式已經(jīng)被事實(shí)證明存在巨大風(fēng)險(xiǎn)且難于保護(hù); 正因?yàn)槿绱耍琀TML 5原生存在于瀏覽器內(nèi)，這種作法更為妥當(dāng)。”

目前的趨已經(jīng)非常明確。我們?nèi)缃袷褂玫慕缑嬉呀?jīng)極少使用Adobe Flash。其正迅速被HTML 5所取代。

Fastmetrics.com高級Web開發(fā)者兼設(shè)計(jì)師Florian Lopez亦認(rèn)為，HTML 5將取代Flash成為新的標(biāo)準(zhǔn)。將CSS與JavaScript乃至jQuery等庫相結(jié)合，HTML 5能夠提供更出色、更快且更為安全的各類設(shè)備使用體驗(yàn)。HTML 5亦可用于視頻播放器、動畫、廣告甚至是游戲開發(fā)。

“HTML 5在可訪問性、性能以及搜索引擎優(yōu)化(簡稱SEO)方面的表現(xiàn)非常出色，”Lopez指出。“現(xiàn)在各網(wǎng)站大多通過移動設(shè)備進(jìn)行訪問，因此跨設(shè)備型技術(shù)變得更為重要。另外，由于HTML 5只是HTML語言的另一種版本，因此開發(fā)者無需從零開始學(xué)習(xí)新的語言。目前HTML 5的相關(guān)框架多種多樣，包括Bootstrap與/或Backbone，這也讓網(wǎng)站開發(fā)變得更加簡單。”

4. 保持耐心

Flash目前仍未徹底消失，HEAT Software USA公司員工產(chǎn)品經(jīng)理Randy Jessee指出。HEAT公司已經(jīng)盡可能在自家應(yīng)用內(nèi)淘汰掉Flash。另外，亦有相當(dāng)一部分HEAT公司客戶選擇在其瀏覽器中禁用Flash。

根據(jù)Jessee的觀點(diǎn)，F(xiàn)lash在未來仍會被大量用于眾多網(wǎng)站及Web應(yīng)用程序當(dāng)中。如果經(jīng)過正確的補(bǔ)丁修復(fù)，F(xiàn)lash本身倒不是什么糟糕的技術(shù)方案。然而，由于大多數(shù)軟件開發(fā)商已經(jīng)將移動端納入發(fā)展規(guī)劃，而Flash根本無法在iOS平臺上運(yùn)行，因此利用Flash進(jìn)行開發(fā)無疑會限制市場發(fā)展空間。因此，HEAT公司的開發(fā)人員們通常會回避Flash在新型應(yīng)用中的使用。

“我們已經(jīng)發(fā)現(xiàn)，HTML 5能夠在我們的各項(xiàng)工作中成功取代Flash，”Jessee表示。“另外，其擁有出色的跨設(shè)備兼容性。大多數(shù)Flash應(yīng)用程序可以利用Sencha或者Angular JS等框架進(jìn)行重新開發(fā)，這也簡化了替換流程。我們目前已經(jīng)能夠100%兼容以往利用Flash開發(fā)的組件，并在HTML 5中找到其替代方案。”

Fastmetrics公司高級網(wǎng)絡(luò)工程師Chris Ajello亦贊同Lopez與Jessee的說法。“目前的趨已經(jīng)非常明確。我們?nèi)缃袷褂玫慕缑嬉呀?jīng)極少使用Adobe Flash。其正迅速被HTML 5所取代。”

總結(jié)陳詞

Adobe公司發(fā)言人Devon Smiley表示，“正如2015年11月作出的聲明，Adobe公司支持Open Web標(biāo)準(zhǔn)并認(rèn)為HTML 5將成為未來的核心Web平臺。Adobe公司與Mozilla、谷歌、微軟、Facebook以及其它廠商保持緊密合作，旨在進(jìn)一步推動上述開放標(biāo)準(zhǔn)的普及。這是一場行業(yè)范圍內(nèi)的大規(guī)模變革，而Adobe公司則在這方面投入了大量資源。”

原文標(biāo)題：How to survive the death of Flash   原文作者：JD Sartain

核子可樂譯

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】