Smettete di usare Flash ADESSO

No FlashFlash è il Lato Oscuro: rapido, facile, seducente e mortale.

Ce lo portiamo dietro dal millennio scorso, da quando i “grafici” volevano dettare le leggi del web e insegnare a Sir Tim Berners-Lee e a milioni di tecnici come doveva essere fatto il “vero” web (mica quella roba in HTML che non si può impaginare…)

Adesso, grazie a questi geni incompresi della tecnologia (quelli ancora in attività sono saltati sul carro di HTML5+CSS), ci portiamo dietro una costante falla di sicurezza.

Flash non nasce con l’idea della sicurezza e Adobe continua a rincorrere e a tappare ex post falle pericolose con il risultato che più la rimescola e più puzza. Su questo sito ci sono vari articoli sulla non-sicurezza di Flash, poi mi sono stancato di scriverli perché sono diventate non-notizie ed erano l’uno la copia dell’altro.

RSA è stata bucata grazie ad un oggetto Flash incorporato in un foglio Excel allegato ad una mail. Ed è solamente uno dei tantissimi esempi.

Avere Flash Player installato è un invito ad entrare rivolto ai malviventi di tutto il mondo.

Paolo riporta che ora Chrome e Firefox bloccano automaticamente Flash. Personalmente uso da tempo un plugin di Chrome che blocca Flash e normalmente non ho Flash Player installato.

Purtroppo ci sono applicazioni professionali che dipendono da Flash, a partire dalla decisione scellerata di VMware di utilizzarlo nell’interfaccia web di vSphere. Spesso il web client viene utilizzato anche in interattivo sui server e costringe gli amministratori di sistema ad esporre i server a pericolose falle di sicurezza. Il problema è che molte operazioni importanti si possono fare solamente con il web client e non con l’interfaccia .NET. Signori di VMware, ma cosa vi è venuto in mente?!

Ultimo ma non ultimo tra i detrattori di questa oramai inutile tecnologia è Alex Stamos, responsabile della sicurezza di Facebook, che ha invitato Adobe a fissare una data di fine vita per Flash.

Che siate amministratori, gestori, clienti, utenti, cercate di non usare Flash e se qualcuno dei vostri fornitori lo usa o vuole farvelo usare cercate di opporvi e spiegate che se usate Flash la vostra sicurezza si indebolisce.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

13 pensieri riguardo “Smettete di usare Flash ADESSO”

    1. E’ molto meno probabile, a meno che la tua connessione sia vittima di un attacco MitM che falsifica i certificati SSL. A quel punto ti potrebbe arrivare di tutto.

      1. Grazie della risposta Bro. Ho appena sentito il tuo intervento a “L’era dei robot” su Radio 24, bella lì!

  1. A bhe… se dobbiamo smettere di usare Flash, per lo stesso motivo, dovremmo anche smettere di usare Windows !!!

  2. Grazie per la risposta Bro, ho appena sentito il tuo intervento a “L’era dei Robot su Radio24”, bella lì!

    1. Ho sentito sabato il podcast 🙂
      In realtà ELIZA è un simulatore di psicanalista scritto in LISP e per essere un software degli anni 80 ogni tanto lascia a bocca aperta

  3. Risposta a tutti i commenti “per lo stesso motivo dovremmo smettere di usare Xxxx”

    Premesse:
    1) Ogni software non banale contiene almeno un baco.
    2) L’aggiunta di un software ad un sistema deve portare piu’ benefici che danni
    3) Flash in alcuni contesti e’ odiosamente necessario (uno per tutti: il client web di VMware vSphere)

    Cio’ detto e premesso, se si vogliono utilizzare solamente software senza bachi, siete finiti nella timeline sbagliata perche’ in questa timeline i bachi esistono anche nei microprocessori, figuriamoci nei software userland.

    E non credete che basti bloccare i plugin per essere al sicuro perche’ RSA e’ stata bucata con un allegato Excel che conteneva un oggetto Flash incorporato.

    Flash non e’ un semplice programma, ma e’ l’interprete di un linguaggio che puo’ accedere ad un sacco di funzioni del PC e Adobe non ha mai fatto nulla di concreto per rendere Flash veramente sicuro, questo lo rende molto pericoloso.

Spazio per un commento