Adobe Flash终结者：HTML5

我们都知道，绝大多数网络安全专业人员都希望看到Adobe Flash尽早终结，而最近Adobe的行动表明这个梦想可能会成真。

Adobe最近宣布，Flash Professional CC将改名为Animate CC，“它将成为Adobe主要网络动画工具，用于开发HTML5内容，同时继续支持创建Flash内容。”这个新软件将在2016年年初发布，并将推出针对桌面浏览器的新HTML5视频播放器。

Adobe表示，HTML5等开放标准已经足够成熟，可提供Flash提供的很多功能。同时，Adobe称其将继续为Flash推出安全和功能更新，但也承认，HTML5等标准“将会是未来所有设备的网络平台”。

Adobe对HTML5新的支持让专家猜想Adobe Flash最终将终结。

Malwarebytes实验室恶意软件情报负责人Adam Kujawa表示，他希望Adobe将最终终结Flash，因为尽管该软件仍有用，但其安全漏洞带来的风险大于其带来的优势。

“Adobe很可能会尽可能久地保留Flash，只要还有人需要使用Flash，Adobe可能会继续修复新Flash版本，”Kujawa称，“在一年内，不太可能会有很多团队使用Flash，在五年内，在很多系统上甚至不会安装Flash。”

Rook Security公司产品专家Michael Taylor表示，Adobe Flash何时终结将取决于Adobe是否扩展移植工具。

“现在Flash Professional CC平台中已经有转换Flash内容到HTML5的功能，并且，谷歌自动转换器Flash广告为HTML5，”Taylor称，“我相信Adobe正在试图将Flash作为不断增加的HTML5内容的并行解决方案。”

Taylor还指出，现在主要通过Flash托管的内容包括基于Web的游戏和流视频服务，Adobe声称，HTML5和其他“新标准尚未完全成熟”，还无法在这些用例媲美Flash播放器。

Tayler称，对于企业来说，最好的方法是避免将Flash安装在所有企业设备，并投资于从Flash HTML5的过渡。

“这将使他们在没有Flash插件安全隐患的情况下提供这些内容，这些内容通常是针对娱乐和与技术不太相关的市场，”Taylor称，“此外，随着更多浏览器在默认情况下禁用Flash，HTML5内容将会迅速渗透到娱乐市场，因为这些内容在安装浏览器后可立即使用，而不需要安装额外的加载项。”

Norse Corp公司威胁情报和机器学习主管Wes Widner称，企业应该记住，HTML5也不能幸免于漏洞问题。

“它具有java和flash提供的所有功能，例如文件和多媒体接入，并将这些移动到浏览器，”Widner称，“这可以消除第三方插件带来的安全隐患，但这现在带来了浏览器本身的安全问题。”

Taylor指出，OWASP HTML5 Security Cheat Sheet已经列出了一些比较常见的HTML5漏洞。

“这包括可允许HTML5资产之间通信、对本地存储进行跨站脚本攻击、SQL注入攻击的漏洞，这些会导致恶意消耗CPU资源，”Taylor称，“HTML5并不是万能药，它不可能解决托管动态网页内容的所有安全问题。它所提供的是完善的开放的框架，用于创建内容和托管内容，而不需要第三方Flash加载项—这一直是大部分基于浏览器攻击的攻击向量。”

作者：Michael Heller 翻译：邹铮

来源：51CTO