Comments 242
Все рано или поздно устареет + флеш дырки в безопасности имел.
Обновления с закрытием очередной уязвимости во Flash часто прилетали в своё время.
Для примера можно тут посмотреть: cvedetails.com
На данный момент там 1078 публично открытых уязвимостей. Сколько там ещё не открытых мы не знаем.
Это была распространенная проблема в начале 2000-х и 2010-х годах.
Другой вопрос что такие вещи размещались в основном на сомнительных сайтах, куда редко заходят работники всяких организаций. Поэтому утечки были в основном у частных лиц.
Да и у вирусов тогда задачи были другие, например захламить компьютер рекламой всяких ххх сайтов и прочих казино.
Какое вообще отношение к дырам контент на сомнительных сайтах имеет, и какая разница, на какой технологии он создан?
Там больше проблемы из-за браузеров от мыла и яндекса, которые надо «срочно обновить», и веб-пуш уведомления.
Скачивают и устанавливают всякие программы, а с ними и эту гадость. Причем антивирусы часто не реагируют, так как там вполне законные скрипты, которые «всего лишь» меняют главную страницу на свою, как пример.
А раньше была проблема с тем что достаточно было перейти не по той ссылке и заразиться. Это сейчас надо что-то скачать и добровольно запустить.
Забавно кстати наблюдать содержимое папки «Загрузки» на некоторых линуксовых машинах родственников.
Нет, не сродни. Есть продукты, в которых дыр очень мало. Например, nginx.
Ведь nginx сначала не был таким, который он сейчас. На том же cvedetails есть достаточно много критических уязвимостей.
Flash-плеер никогда не имел полноценного доступа к системе пользователя.
Адоб никому «доступ» не давал, но наличие дыр в плеере позволяло этот доступ получить.
Плеер был дыряв, да. Но с точки зрения прикладного интерфейса жил в песочнице.
Сравнивать JS и Flash не совсем корректно, т.к. у JS сильно хуже с использованием аппаратного ускорения, например. А там, где JS идет в эту область (WebGL) мы видим также большое количество проблем с безопасностью.
Айяйяй, а сейчас-то у всех чистота и порядок, и не приходится каждому второму знакомому браузер чистить от XXX и казино.
В принципе да.
Если лет 10 назад частенько просили помочь и антивирусы даже стояли — то теперь крайне редко. И антивирусов не используют, своей защиты Windows уже достаточно.
Ну да, потому что этот самый антивирус встроили в Windows.
Судя по тому как тормозят работу отдельные антивирусы, а как встроенный в Windows — то все же не тот же самый.
Встроили легкий антивирус + пофиксили уязвимости. Этого оказалось более чем достаточно.
Обновления с закрытием очередной уязвимости во Flash часто прилетали в своё время.
Это если о чём-то и говорит, так только о том, что уязвимости исправляют. Не более. На винду ещё со времён XP регулярно прилетают пачки фиксов уязвимостей. Одна из мих самых любимых это запуск произвольного кода в DLL при попытке показать иконку в проводнике: CVE-2015-0096
В линуксах тоже случается находят уязвимости. И даже в целых процессорных архитектурах (Meltdown, Spectre, вот это всё).
На странице статьи в разделе "Похожие публикации" можно почитать
Почему всякий раз при упоминании Firefox, Chrome, Safari никто не говорит, что они дырявые?)
Если мы говорим о браузерах и технологиях вокруг них, то да, многое и не по одному разу.
Так и флеш за 25 лет можно было трижды успеть переписать с ноля, наверное? Не сложнее же он браузера
Да и как-то я не верю, что за больше чем 15 лет там внутри под капотом ничего не изменилось. Наверняка изменений было очень много, в плане безопасности в том числе.
Больше похоже на то, что кто-то Adobe дал очень много денег за то, чтобы они сами похоронили свой продукт.
Это стоит много денег, а Adobe коммерческая компания.
Мне кажется, Adobe вполне могла бы придумать способ развития и монетизации технологии, воспроизводившей в своё время почти весь медиа-контент в интернете.
1) Продажи Flash Builder;
2) Продажа систем DRM с шифрованием контента для видео и PDF, работающих во FlashPlayer с оплатой за дешифровку каждого ресурса;
3) Продажа установок антивирусов вместе с Flash;
4) Продажа корпоративных подписок;
5) Продажа некоторых фичей движка разработчикам игр.
Когда весь мир пользуется Adobe Flash — видимо хватало на содержание команды и кэш конторе.
— или адобовские менеджеры по присущей всем менеджерам гениальности зарезали курицу, несшую золотые яйца;
— или на самом деле курица обходилась дороже, чем продажа яиц;
— или вмешались конкуренты из гугла, нанесшие удар кинжалом из-за угла;
— или все, вместе взятое, плюс еще чуть-чуть рептилоидов, без них никуда.
В люом случае, результат налицо.
Ценность Flash в том, что он улучшал веб тогда, когда в этом была острая необходимость. Но развитие веба ценность свело на нет и Adobe приняли вполне разумное решение сосредоточиться на развитие веба в рамках HTML5 и перестроить свои продукты на HTML5, а не продавливать пользователей на Flash, который к тому же не работал без Adobe AIR на смартфонах.
З.Ы. Adobe AIR они продали Samsung-у (Harman точнее), а Flash в Китае, судя по всему, вполне развивается, так что дело не в деньгах, а в выборе стратегического пути: можно развивать прогресс, а можно тормозить. Adobe поступила так, как и должен был поступить один из лидеров в создании ПО.
К чему эти ничем не подтверждённые фантазии? Исходников плеера вы, я полагаю, не видели, аудитом его кода не занимались, но мнение откуда-то имеете.
Да, сейчас есть развитая поддержка SVG, Canvas, элементы audio и video и Audio API, и время уже не то, так что актуальность Flash сомнительна. Но…
Я вот совсем недавно занимался переносом анимаций на паре своих веб-страниц с SWF на SVG. Могу сказать, что в целом SWF воспроизводится несколько более плавно. Точнее даже не так, более быстро. В общем, есть ощущение, что там лучше задействуется аппаратное ускорение отрисовки, и код работы с графическим буфером более эффективен. Масштабирование без потерь простых Flash-анимаций, не использующих растровые элементы — такое же, как в SVG, то есть тут паритет.
А ещё могу как веб-разработчик сказать, что у элементов audio есть один фатальный недостаток: отсутствие хоть какой-то возможности управлять буферизацией.
Спросите, зачем это может быть нужно? Ну вот вам простой пример. Страница SHOUTcast радиостанции. Есть плеер. Допустим, я хочу реализовать код, который позволит при достижении некоторого порога времени прекращать наращивание буфера и его обнуление (чтобы пользователь при нажатии «плей» слушал актуальный эфир).
В случае обычного Flash проигрывателя буфер писался практически бесконечно; в случае с HTML5 Audio (как минимум в Firefox, но думаю что везде так же) он пишется только какое-то время. Но во-первых, это время нельзя изменить или даже узнать, кроме как эмпирическим путём; а во-вторых, по истечении этого времени в буфере остаётся «хвост» длиной в 3-4 секунды от старого аудиоконтента. В итоге после нажатия на «плей» пользователь сначала услышит этот «хвост».
Я уверен, что на ActionScript это всё в лоб решалось написанием нужного кода в проигрывателе. Сейчас же приходится городить странные костыли вроде переназначения атрибута
src
по таймеру. При этом, кстати, если у элемента autoplay="true"
, то после такого переназначения ещё и принудительное воспроизведение начнётся, то есть нужно ещё и об этом позаботиться.Что бы тягаться с Flash, надо рендерер SVG в Canvas делать. Ну собственно оно и сделано: github.com/canvg/canvg.
Желающие всё равно забекапили версию до включения тайм-бомбы, точно также будут и использовать только совместимые (со старым API, если изменится) версии браузеров и т. д.
Flash использовал NPAPI, который тоже был не фонтан в плане безопасности.
NPAPI выпиливается из браузеров.
Можно было просто разработать новую версию протокола с повышенной безопасностью.
Именно это и было сделано как раз. Adobe и Oracle решили ничего по этому поводу не делать. Возможно, что не просто так.
А при чём здесь Adobe и Oracle? Вопрос скорее к производителям браузеров на тему, зачем они всё-таки выпилили NPAPI несмотря на выпуск этой более безопасной версии.
Без принудительного удаления Flash из интернетов им ещё лет 10 будут пользоваться, а так — максимум через год забудут.
Я вообще флешем не пользуюсь
Флэш будет жить, но на этот раз вечно и без дыр.
Очень много придётся переделывать, что уже 10 лет нормально людьми использовалось.
Ну, я бы только на это не закладывался. Эксплойты имели место например на повышение привилегий. Ну т.е. пользовательский код -> рантайм -> callback (профит, повышенные привилегии, например запись локальных файлов, чего в браузере быть не должно). Простое переписывание этого на Rust не изменит этого само по себе (хотя конечно повлечет редизайн и повторное обдумывание).
Я бы даже сказал так — дырки были в основном в плагине. Т.е. на стыке браузера и флеша. Тот же практически рантайм под названием Air, вроде бы даже никто не банил в IOS, потому что он не в браузере.
Странное решение взять и запретить нечто устаревшее. WinXp хоть и не поддерживается более, но миллионы ее до сих пор используют. Чем был так опасен старый добрый Flash?
Устаревшие технологии тихо-мирно умирают в забвении. По-прежнему работоспособные, но уже никому не нужные. Здесь же мы имеем дело с злонамеренным убийством под надуманными предлогами. Дырок нет только в том софте, который не работает.
Именно .142 последняя версия без тайм-бомбы?
Правкой конфига mms.cfg можно вернуть работоспособность нужным сайтам через AllowList
Мы столкнулись с такой проблемой:
У кого перестало работать копируем в нужную папку файл mms.cfg
-если там не было такого файла, то все заработало
-если там уже был такой файл, то копирование нашего с нужными параметрами не возвращает работоспособность.
Еще если 32битная win7, то тоже не у всех срабатывает.
Тут помогло удаление (uninstall) флэша и заново установка с копированием mms.cfg
Многопользовательскую игру, которая общается с сервером, конвертировал через Ruffle — не запустилась.
Многопользовательскую игру, которая общается с сервером, конвертировал через Ruffle — не запустилась.ActionScript 3 там пока почти не работает, и далеко не все API реализованы.
Compatible with ActionScript 2/3, Flex and Spark. Supports networking, access to files, audio, and most other Flash APIs.
Подозреваю, что совместимость у него получше Ruffle.
А так согласен, большая вероятность, что Ruffle сможет книжный SWF проиграть.
вытащить можно - делать это никто не будет.
в данном случае - представьте, университет 10-15 лет назад влупил кучу ресурсов (миллионы денег, тысячи студентов) на сканирование и распознавание текста, упаковку в УДОБНЫЙ, СОВРЕМЕННЫЙ, ПРОГРЕССИВНЫЙ формат SWF
а теперь микрософт заявляет, что всё это надо делать заново. потому что микрософт просто удаляет из системы flash, и запрещает его повторную установку в ещё более "новой, прогрессивной, современной ОС виндовс".
и адоб этому не только не сопротивляется, а ещё и всячески способствует - заложив в "необходимое обновление" таймер выключения.
это настоящее преступление против пользователей, в случае с цифровыми библиотеками - уровня сжигания вообще всех книг, без разбору.
сканирование и распознавание текста, упаковку в <...> формат SWF
микрософт заявляет, что всё это надо делать зановоНу, не всё же. Только переупаковку. Причём, скорее всего, даже конвертер из SWF в нужный формат уже существует.
Уже названивают знакомые. Им пять лет назад сделали сайт с загрузкой файлов через flash. Сегодня они попытались выставить новости — и фигушки. Пойду разбираться.
зашибись
а что делать с HP VC которые рулятся через флэш?
А обновить его нельзя? Я обновлял HP ProCurve 2910 2011 года выпуска с 2018 году — выпилили оттуда Java в новой прошивке.
Какие-то можно, какие-то — нет. Всё, что ушло в End of Support, обновлений не получит.
https://support.hpe.com/hpesc/public/docDisplay?docId=a00104740en_us&docLocale=en_US
flash закрытыйГде он закрытый? Спецификация формата swf лежит прямо на сайте Adobe.
С джава апплетами в браузерах это тоже давно произошло. И с silverlight.
<applet archive="example.jar" code="HelloWorld" height="40" width="200">
</applet>
За Масяню одельное спасибо.
Умельцы подшаманят и все заработает вопреки. )))
Да ладно вам, Куваев все выпуски давно «отреставрировал» (он сам так называет это) и на ютуб залил. Кому надо — позаботился о доступности контента вне зависимости от наличия конкретной технологии.
Только вот в некоторых местах ему пришлось музыку заменить, чтобы проблем с авторским правом не поиметь. Видимо поэтому он и называет это реставрацией.
«Это конечно самый трудный для реставрации мульт. В нем полно эффектов написанных под 5-й плейер (сейчас уже 10-й если кто не в курсе) на первом Action Script. Короче полностью так и не удалось восстановить некоторые мелочи.»
О, спасибо, как раз изучу этот процесс
Очень надеюсь, что появится open-source форк из слитых исходников.
Увы, FOSS/FLOSS так не работает.
Иначе бы у нас уже копии винды старой были бы повсюду, а не один полуживой ReactOS.
Jeditobe думаю, может подробно рассказать, почему так. А может и новостями поделится, а то последнее что-то аж от апреля.
А у прочих монополистов по сути и не было другого выбора — им оно надо, добавлять flash и обеспечивать его поддержку, на том основании, что он видите-ли популярный и пользователям надо. Эти самые пользователи на них же первых начнут орать, когда что-то не работает, а не на Adobe.
Был даже сервер в стиле nodejs github.com/Corsaair/redtamarin
Спецификации на swf-контейнер и байткод открыты.
en.wikipedia.org/wiki/Tamarin_(software)
Лучшее, что вы можете с ней сейчас сделать — залить в облако и поделиться с миром :) Популярные флеш-игры в наших широтах сильно отличаются от популярных во всём остальном мире, так что наверняка там есть пара бриллиантов.
www.akteon-elib.ru
Впрочем, тут конечно больше вопросов к людям, которые уже за несколько лет знали о будущем отключении flash и не чесались.
Но интерес был очень ограниченный.
Думаю, для владельцев эти старые книги в SWF — отработанный материал, тратить усилия на работу которого они не готовы, вот и всё.
Вот это уже другое дело:
www.fntb.ru
sila-avia.ru
employmentcenter.ru/vacancy/?action=read2&id=3858684
но не уверен, что это поможет, если вдруг Flash уже удалился из системы
- для Chrome %localappdata%\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\System\mms.cfg
- для 32-bit Windows %windir%\System32\Macromed\Flash\mms.cfg
- для 64-bit Windows %windir%\SysWOW64\Macromed\Flash\mms.cfg
Содержимое:
EOLUninstallDisable=1
EnableAllowList=1
AllowListPreview=1
AllowListUrlPattern=https://FQDN_Of_The_Target_System/
Можно ли разрешить локальные объекты и как — не проверял
Наступило 12 января 2021 года и в Adobe Flash Player сработала таймбомба. При нажатии на картинку перебрасывает на www.adobe.com/products/flashplayer/end-of-life.html
На картинке старый интерфейс онлайн-библиотеки. Особая пикантность ситуации в том, что по ссылке мне должны были открыться сканы книги опубликованной в 1971 году и посвящённой 250-летнему юбилею одного события.
Похоже на заготовку вопроса для ЧГК.
Мало того, что решили всем миром похоронить Flash в один день, так адоб еще и ссылки на все версии флэша удалил. Распространённость флэша и так бы сильно упала после его принудильного отключения, а для львиной доли пользователей этого достаточно, т.к. специально бы они искать нужную версию не стали бы. Но зачем удалять все версии с сайта?
Если речь о безопасности, то это странно, т.к. в связи с нераспространнёностью после отключения, уязвимости применять было бы уже почти не к кому, и это бы решило проблему (Из серии — «Почему на десктопных линуксах почти нет вирусов?» — Потому что относительная доля пользователей мала, зачем зря старатья).
В общем, поведение Adobe непонятно.
Мульту уже более 20 лет, а они даже на официальном сайте давно перевели все ролики с флеша на ютуб.
Разрабы VLC плагина думали его в Wasm переделать, но потом решили, что смысла в плагине сейчас уже нет в любом виде.
Беда в том, что ВебЖЛ и Васм не дают того, чего давал флеш.
Допустим, я больше художник, чем программист, и взбрело в голову мне сделать элементарную казуальную игрушку.
Воркфлоу с флешем: окей, открыл, нарисовал всю графику. Нужны анимации — создал клипы, где-то интерполяцию засунул, где-то покадрово. Какая-то минимальная логика — наговнокодил натыкал что-то по туториалам. Докинул звуки, нажал Ф5, вуаля, первая бета готова, можно лить на какой-нибудь ньюграундс и собирать фидбек, стоит это дописывать или закопать и забыть.
Воркфлоу с трешем (хтмл5 и все-все-все): окей, начнём с графики. Растр — не полный аналог, поэтому берём SVG. Рисуем, например, в инкскейпе (даже не буду сравнивать, насколько его интерфейс далёк в удобстве даже от флеша мх 2004). Нужно заанимировать — ой, а вместо добавления кадров мышкой тут надо курить CSS и писать его, ещё и так, чтоб не разъехалось. Триггерить анимации по действиям — упс, ещё тонну кода, чтобы добавлять и убирать классы с этими анимациями. Звуки — опять нужно заворачивать в колбэки, чтобы не уезжали от анимаций, либо грузить всё скопом за один присест. И это мы ещё до логики не дошли, которая при познаниях среднестатистического более-художника в архитектуре софта размажется по всем исходникам ровным слоем и насобирает туеву кучу багов.
В итоге убийством флеша из медиапространства интернета был вырезан целый пласт людей, которые не могут и/или не хотят учиться именно программировать, но при этом могут придумывать и рисовать игры и другое интерактивное мультимедиа.
Тот же Adobe Animate, допустим, экспортирует в html5, webgl и так далее. Так и в чём проблема, кроме того, что ажиотаж вокруг бразуерных порталов давно затих, всё поделено между крупными игроками и уже совершенно не та ситуация, что была раньше.
Да, принудительное отключение Flash это не только отсутствие возможности поиграть в старые игрушки или пересмотреть Масяню в оригинале, а ещё и вот это — отсутствие возможности прочитать книжки изданные задолго до появления этой технологии.
… но и доступ к железу, у которого морда на флеше. Как же теперь до оборудования достучаться?
Adobe Flash 30 версия без «time bomb» от Adobe.
1. install_flash_player_30_ppapi.msi (PPAPI версия для Firefox) — 1drv.ms/u/s!AhMj6AgPinVwm03MXraQNZrgSVX1?e=w2Ykjw
2. install_flash_player_30_plugin.msi (NPAPI версия для Chrome) — 1drv.ms/u/s!AhMj6AgPinVwm0xUp1jyJsDT9YUE?e=sOghsg
3. Firefox Setup 84.0.1.exe — 1drv.ms/u/s!AhMj6AgPinVwm07iKhCHO4sjbupP?e=3eQ0iR
4. ChromeStandaloneSetup.exe (x86) 87 версия — 1drv.ms/u/s!AhMj6AgPinVwm09q5MUMW-8Swbq4?e=V5VqfN
5. ChromeStandaloneSetup64.exe (x64) 87 версия — 1drv.ms/u/s!AhMj6AgPinVwm1AhmdEkS4BXOQKd?e=z3LHyF
6. ADMX-шаблоны для Firefox — github.com/mozilla/policy-templates/releases/download/v2.6/policy_templates_v2.6.zip
7. ADMX-шаблоны для Firefox для Chrome — dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
helpx.adobe.com/flash-player/release-note/fp_33_release_notes.html
www.flash.cn/english
Также интересно, что Adobe AIR тоже не умер, а продан Samsung: airsdk.harman.com
Самое смешное — оный уже есть в базе вирустотала!
Так что «не всё так однозначно» ;) «Вирусяка» как-бы старая — во многих базах датирована 2019 годом.
Апдейт — с адреса этого «адобчина» раздают и другие вируса: www.scumware.org/report/49.235.206.130.html
Чтобы продолжить игру, есть решение:
ВКонтакте разработал и распространяет windows-приложение Play Machine:
static.dl.mail.ru/nativeclients/vk/distrib/VK…
(это официальная ссылка, ни в коем случае не скачивайте приложение из других мест!)
____________________________________________________________________
Обратите особое внимание:
Flash Player нельзя обновлять выше версии 32.0.0.371
Если с 12 января вы вместо игры видите картинку с синим кружочком и буквой i, значит плеер обновился.
Теперь единственный вариант для вас — установить версию 32.0.0.371 Flash Player.
Для этого необходимо:
1. Скачать программу удаляющую текущую версию:
fpdownload.macromedia.com/get/flashplayer/cur.., и удалить плеер.
2. Скачать архив с нужной версией плеера из интернет-архива:
web.archive.org/web/20200618035158/https://fp…
И установить старый плеер из этого архива.
Но проблема не в технических действиях, а в том, что массовый пользователь не любит лишних движений. Plug and Play. Включил — работает. Не работает — закрыл и забыл.
Мало кто будет устраивать танцы с бубнами, даже из нескольких действий.
все кинутся качать с помоек всякий софт для проигрывания флэша — и запустят себе целый зоопарк всякой гадости
— нужен бразер который его поддерживает. Например FireFox ESR
— нужно прописать разрешенные URL-И в mms.conf
(причем в доках там ошибка, * не работает как описанна)
Это явно все описано в доках для корпоративных клиентов. У нас на флеше довольно мноно всего, например VDP бэкап апплаенс для VMware без флеша не поднять, да и управление бэкапами тоже (до 6.7 где их вообще нету, покупайте у EMC).
Хотя идея выкопать совсем старый флеш тоже не плоха. Надо будет про КИтай проверить.
Для этого можно установить «китайскую версию» Flash Player и KOO Browser версии 1.0.20
Точнее — «нежелательное ПО». И не факт, что он вам установит ИМЕННО флешплеер ;)
Дополнение — сайт-раздавальщик данного «флеша» — вирусная ферма: www.scumware.org/report/49.235.206.130.html С айпишника данной «фермы» как минимум три «угрозы», одна — старый добрый «криптик»!
Вот её скан: www.virustotal.com/gui/file/db35a135aa2100698c2ee175ee4cb44b91f333c8926ccd226c04beca478ccf21/detection
Вот ссылка на этот домен на сайте Adobe: helpx.adobe.com/flash-player/release-note/fp_33_release_notes.html
Но если есть сомнения, можно и старые версии Adobe Flash поставить, должно работать.
И да — судя по вирустоталу — нод всё так-же видет в ней вирусяку.
К слову — а скачать «установщик» целиком нельзя? Ведь по ссылке с флеш.чайна качается только даунлоадер.
И да — «похож» не значит «является». помнится одно время были вирусы с подписью от мылару…
Нужна версия 32.0.0.371 или младше в виде PPAPI-плагина (файл в ZIP-архиве будет называться flashplayer32_0r0_371_winpep.msi).
Adobe Flash в 2021 убрали да не везде, он продолжает работать. Возможно это будет как временное решение пока все окончательно не перейдут на HTML5.
Вот сделал инструкцию, ссылка на видео.
https://www.youtube.com/watch?v=PCz_J3mutck&t=1s
Все ставится с официального сайта.
Видео сделал так как многие в это не верят.
- в открытом приложении на Flash произошло завершение работы из-за геобана (Flash определяет, что не из Китая запущен и может отказаться работать, но это происходит не сразу, поэтому можно не увидеть на этапе тестирования);
- ставится какая-то китайская реклама в автозагрузку.
Пользуюсь уже несколько дней рекламы или какой другой гадости не заметил. Скажите где проверить, я проверю. Изначально я озадачился проблемой флеша из за ip камер видеонаблюдения, там в настройках например зон детекции движения не отображаются поля и невозможно сделать настройки. Я ни в коем случае не навязываю своё решение, в интернете много других вариантов, я просто поделился. Да и я написал ранее что это скорее всего временное решение.
Это FlashHelperService, он выводит новости для китая.
Чтоб он не вылазил надо нажать 3 палочки и No longer pop up и все больше не беспокоит.
Кстати можно еще сделать иконку на рабочем столе на эти новости, там же в трех палочках Create shortcut.
У меня сегодня Flash обновился и отлично себя чувствует. Писал выше чем пользуюсь. Не без изъянов конечно но мои потребности перекрывает, вчера пол дня его гонял играя в флешь игру скачанную на 4пда. В IE контент из интернета тоже нормально работает.
Как и ожидалось, в полночь Adobe Flash превратился в тыкву