Закат Adobe Flash все ближе и ближе. На прошлой неделе Microsoft, последовав примеру Google, объявила, что Edge будет по умолчанию блокировать загрузку Flash-контента. Google со своей стороны подтвердила готовность к переводу Chrome на дефолтный HTML5. В ближайшие дни HTML5 By Default будет активирован для 1% пользователей Chrome 55, а с выходом стабильной версии Chrome 56 (в феврале) эта функция заработает у всех пользователей браузера Google.

В анонсе Microsoft сказано, что Flash-контент станет по умолчанию блокироваться на сайтах, поддерживающих HTML5, после выхода следующей версии Edge. «В этих случаях Flash не будет даже загружаться, что улучшит производительность, сэкономит заряд батареи и повысит безопасность, — поясняет Криспин Кауэн (Crispin Cowan), некогда занимавшийся вопросами защищенности Linux, а затем присоединившийся к команде безопасников Microsoft. — В отношении сайтов, все еще зависящих от Flash, у пользователей будет возможность решить, хотят ли они, чтобы Flash загружался и работал, и это предпочтение можно будет сохранить для последующих визитов».

По словам Кауэна, развертывание дефолтного HTML5 будет происходить постепенно. Так, изменения не сразу коснутся популярных сайтов, полагающихся на Flash. «В ближайшие месяцы мы будем активно отслеживать потребление Flash в Microsoft Edge и понемногу сокращать список автоматических исключений, — пишет эксперт. — По завершении этого процесса контроль останется в руках пользователей, которые смогут выбрать Flash для любого сайта, который они посещают».

Минувшим летом свои планы по сокращению поддержки Flash озвучили также Apple и Mozilla. Правда, большинство изменений в Safari и Firefox затронут пока лишь функциональность и производительность, однако нескончаемая череда серьезных уязвимостей во Flash Player — это факт, который невозможно игнорировать.

Напомним, не далее как на прошлой неделе Adobe выпустила патч для уязвимости нулевого дня во Flash, уже используемой в атаках. В уходящем году разработчику также несколько раз пришлось латать Flash в экстренном порядке — в апреле, мае, июне и октябре. Тем не менее злоумышленники все равно находят способы атаковать пользователей этого продукта, несмотря на неустанное совершенствование кода и сокращение сроков выпуска патчей.

В прошлом году Adobe реализовала во Flash дополнительную защиту от эксплойта, однако, согласно результатам новейшего исследования, шесть уязвимостей в этом продукте до сих пор широко используются операторами эксплойт-паков. Одна из этих брешей была закрыта более года назад, но эксплойты к ней все еще числятся в арсенале семи таких инструментов.

Немногим более года назад Adobe сделала первый шаг к отходу от Flash и обращению к HTML5, даже собралась переименовать Flash Professional в Animate и уготовила ему роль головного инструмента для создания HTML5-контента. Однако самое большое ускорение на пути к депрекации Flash вполне ожидаемо придали вендоры браузеров.

«Начиная с января пользователям при первом посещении сайта будет отображаться предложение запустить Flash, — пишет Эрик Дейли (Eric Deily) в блоге Chromium. — Мы не хотим перегружать пользователей подсказками, поэтому со временем ужесточим это ограничение с помощью Site Engagement Index — полученных путем эвристики данных о частоте взаимодействия пользователя с сайтом через браузер. В октябре все сайты будут требовать разрешения пользователя на запуск Flash».

Категории: Главное, Кибероборона, Уязвимости