Комментарии 165
Твич, к сожалению, использует только флеш, пришлось для него разрешить воспроизведение флеша.
И где-то в настройках твича можно включить HTML5 по умолчанию для всех страниц.
Я несколько не в курсе всего этого, заходил буквально пару раз, но я хотел только обратить внимание, что даже такой продвинуты и современный сайт пока ещё использует flash для показа трансляций.
Как видно, речь идет исключительно про флешовые банеры и аналитику.
Онлайн кинотиатров, игрушечек эти изменения не касаются. Флеш как таковой не выпиливается и не блочится. Заголовок статьи врёт.
Но когда мне пришлось приводить систему в должный вид (через несколько месяцев после ухода бывшего «сисадмина»), я обнаружил, что пароли там из разряда «1234» и прочие «радости». И когда я сказал, что надо переделыать, то шеф заявил, что у него это всё для работы, а не для мучений с паролями. И принтер сетевой (HP LaserJet) он сперва просил повесить так, что бы с любой точки мира он просто на него печатал.
Потому что он у него для того и сетевой, что бы просто на него печатать.
Никого не напоминает? ))
(шеф этот, впрочем, после разъяснительных бесед осознал, что к чему. И, хотя, сперва, после объяснения, как юные «кулхацкеры» могут ему порнофильм покадрово на его цветной принтер ночью пустить, продолжил требовать открытого доступа. Но когда я пришёл ставить, и ещё раз чётко переспросил: «открываем?», как-то замялся, сказал, мол, «я вот подумал над тем, что ты сказал… давай не будем!» :D)
Неа. В любом деле есть крайности, есть разумный подход. Крайности в обе стороны, и по закручиванию гаек, и по безалаберности. Пароли 1234 — это крайность по безалаберности. Удалять флеш из-за риска атаки через него — это крайность по закручиванию гаек. Вы много видели вирусов, которые через флеш могут что-то у вас там самостоятельно испортить? Атаки через флеш как правило целевые, т.е. злоумышленника должен интересовать именно ваш компьютер.
Вот, например, по поводу общедоступного сетевого принтера. Чтобы произошла атака, надо:
а) его обнаружить в сети
б) выяснить, что это именно принтер
в) захотеть туда что-то послать на печать.
И максимальные потери от этого состоят в том, что кто-то распечатает полсотни-сотню страниц на казённом картридже.
Вам не кажется, что ответ на вопрос, надо ли действительно предпринимать какие-то меры против этого, не слишком очевиден? Может быть, действительно ну его нафиг, и это не является сколько-нибудь значимой проблемой?
Потому тезис «я запускаю браузер ради контента» звучит так же, как в далёком 98-ом слова сына начальника (владельца сети клубов, рулившего двумя из них), что мол «если Need For Speed III не работает в системе с CIH-ом, то значит нам не нужен этот NFS!» потому как «CIH не мешает, а компьютеры должны деньги зарабатывать, а не касперскими чиститься» (часть игр, из популярного набора и имевшихся дистрибутивов, было заражено, включая дистр OSR2).
Надо ли говорить, что результат немного предсказуем?
В апреле единственный клуб сети, продлживший работу в день Х и далее, был мой. Потому что я забил болт на главного (непосредственный не стал вмешиваться), на потенциальную прибыль от пары игр и скорость установки из «левого» дистрибутива: всё было переустановлено долгим (с оригинального дистр.) способом, с отсевом софта и регулярной проверкой avp-шкой (касперский тогда так назывался)
Чтобы произошла атака, надо:а это проблема? сложность?
Вы, наверное, не слышали, когда HD Moore выкладывал результаты исследований, и списки уязвимости 50 миллионов принтеров, приставок, маршрутизаторов, NAS и т.п.
советую ознакомиться, для общего представления (пошукал на русском, навскидку): 01, 02, 03, 04, 05
тут не надо быть семи пядей во лбу, достаточно иметь желание «похулиганить»
максимальные потери от этого состоят в том, что кто-то распечатает полсотни-сотню страниц на казённом картриджеа этого мало? к тому же, в рабочие принтера закладывают не «полсотни-сотню», а, обычно, «сколько в лоток влезет». При печати с хотя бы 80% покрытием листа, можно примерно пол-картриджа за раз спустить. При стоимости 1 картриджа (умножаем на 4) более 70€, потеря вполне себе (четверть зарплаты кассирши, чуть больше даже). Это «во-первых».
А «во-вторых»: 10, 11, 12 – в качестве небольшого ликбеза.
Welcome to real world, так сказать.
Не поймите меня превратно – я против того, что бы компании (и замаравшийся в этом по уши гугл в частности) решали за меня, что мне надо, а что нет, что для меня хорошо, а что плохо, и что мне будет удобнее. По этой причине я отказался от хрома (последней каплей был их отжиг с закладками), от андроида 5.х и т.д.
Меня выбешивают сайты, которые пытаются перенаправить меня на версию «моего региона», подсовывая ненужные мне языки, часто даже если я задаю в строке параметр «en» (я сам знаю, когда мне читать на русском, когда на английском, а когда на китайском или аборигенском)
Т.е. полностью разделю возмущение продвинутых и вдумчивых пользователей подобными тенденциями.
Но, в данном конкретном случае, с флешем, это действительно важно. И мне жаль, что этого не произошло лет 5 назад.
(тем более, пока возможность ручной активации осталась, для ссзб)
Такое моё мнение (и аргументы) по данному вопросу. )
Скажите (только прошу честно), вы, как админ, сколько раз сталкивались с эксплуатацией этой сплошной дыры на практике? Или хотя бы не вы, а ваши знакомые коллеги или клиенты? Именно на практике, не в теории, не в статьях, а в реальной жизни?
> а это проблема? сложность?
Вообще, да. Я могу с определённой достоверностью сказать, что ни ваш, ни мой смартфон, ни ваш, ни мой компьютер, ни один девайс у ваших или моих пользователей не застрахован от _целенаправленной_ атаки. Потому что везде можно найти те или иные уязвимости, которые известны специалистам, например. И в целом мы сейчас болтаем в интернете, а не переустанавливаем ОС исключительно потому, что мы не представляем интереса для злоумышенника.
Вы же сами привели отличный контрпример для самого себя: десятки миллионов устройств, которые имеют не просто уязвимости, а выявленные и опубликованные… и при этом все они не сломаны хакерами, а нормально работают (!)
Поэтому нужно не вдаваться в панику, читая подобные статьи, а подходить к делу взвешенно. Как страховая компания, например. Есть потенциальная стоимость риска, есть потенциальная стоимость работ по устранению риска. Если первое больше второго, то риск надо устранять. Если меньше, то не надо.
cколько раз сталкивались с эксплуатацией этой сплошной дыры на практике?это крайне слабый аргумент.
во-первых, с «эксплуатацией» того же CIH я столкнулся 1 раз. Но ущерб от него у моих, гхм, «нерадивых коллег» (я тогда ещё зелёный сам был )) был катастрофичен для фирмы. Вопросы безопасности «пост фактум» решает только плохой админ. Даже хороший сантехник решает проблемы их до возникновения.
заражение же пользовательских (домашних и начальских ноутов) компов через флеш происходило не раз.
плюс простое сравнение: ноут начальника, где флеш оставлен, и его машина в офисе, где я зарезал объявив стандартом безопасности. В остальном обе машины настроены примерно одинаково, у него даже антивирус стоит, дополнительно. Но его машина, в последствии, наловила всяких троянцев и даже «майнеров», а на рабочей машине всё заметно спокойнее. Наводит на мысль.
Естественно, я не отслеживаю на домашних компах (да и цели такой не стояло никогда) источники заражения. Видно, что через браузер – а какая именно уязвимость, это вопрос десятый.
во-вторых, тут противоречие логике: если я 5 лет его везде обрубаю, как будет эксплуатирована дыра?
ни один девайс у ваших или моих пользователей не застрахован от целенаправленной атакиестественно. Устройство небезопасно, если подключено к Сети хотя бы бельевой верёвкой. Но наша задача минимизировать шанс такового. В особенности, если речь идёт не оцеленаправленного-хакерском, а примитивном детско-хулиганском «взломе».
приведённые мной примеры про биосы и т.п. – согласен, это больше в область целенаправленного взлома.
Печать на светящийся в сети, как публичный дом в день получки, принтер – в область хулиганства. И флеш тоже, ибо для его активации достаточно послать ссылочку на сайт с эксплойтом.
(и, да – в одной из фирм, где доступ к принтеру был открыт по 9100, подвергся такой «атаке»; распечатка «порнофильма по кадрам» это не фигура речи, а случай из жизни. Листов, правда, было мало – девушка поленилась вечером выполнить рабочую инструкцию и доложить бумагу в лоток. Потому увидела только сотню интересных картинок утром :))
Целенаправленный же взлом, условно говоря, «стоит» ресурсов: времени, сил и т.п. Если мы создаём уровень безопасности усложняющий данное проникновение более, чем интерес к объекту, мы можем считать объект защищённым. (овчинка выделки не стоит)
Что бы запереть 10 рублей, достаточно висячего замка на дервянной дверце. Но запереть там 100к было бы идиотизмом. Отсюда и пляшем.
по-моему в остальном мы сходимся, потому не буду многословить.
резюмируя: с моей точки зрения, флеш «у простого смертного» плох тем, что существует чёртова прорва сайтов, где его уязвимости эксплуатируются (порой даже без злого умысла, а по неразумению). И у огромного числа пользователей не стоит более-менее вменяемый антивирус, хотя бы часть из этих дыр так или иначе затыкающий. Т.е. это прекрасная возможность создавать тот же ботнет. Что делалось далеко не один раз, прошу заметить.
> Наводит на мысль.
Вы лучше историю браузера сравните на обеих машинах :) Если, конечно, начальник не в курсе о функции приватного просмотра. У меня был случай, когда в компании вроде всё налажено, файрвол, актуальный антивирус, ограниченные права… но на машине у одного из начальников регулярно то одна, то другая броузерная зараза выскакивала. На самом компе ничего не обнаружилось, но логи сквида расставили всё по местам. А теперь загадка: угадайте, кто из сотрудников компании постоянно смотрел порно на работе?
соответственно, от просмотра некоторых сайтов знакомств (порно не так много места занимало в его истории, как сайты, где он девок цеплял) порно и жёлтопрессы, на работе его ограничивал только тот самый отключенный флеш. Ну, ещё заблокированные на маршрутизаотре фейсбуки-вктонтакты-одноклассники-твиттеры (только секретарша доступ к этому имеет, но ей я вообще развёртывание образа на утреннем включении компа настроил. каждый раз «чистая винда» и никаких «временных файлов». Всё под вайп), но врядли он там всю вирусню хапал ) просто потому что аккаунтов там даже не имеет )
про функцию он был в курсе, и историю чистил. Но не был в курсе, что его любимы фаерфокс (года с полтора, наверное, назад я его ноут шерстил) прекрасно хранил временные файлы и запросы его «приватных» похождений – хоть сам начальник был уверен в своей хитрозадости, поскольку не видел ничего в истории просмотров и списке урл )
1. если технология проблемна, то я не буду ею пользоваться, а подожду, пока допилят (если только не возьмусь допиливать сам, прямо или косвенно). А если уж технология сильно угрожает безопасности… Вы же не будете летать на самолётах, двигатели которых часто взрываются. В ожидании, что «допилят».
2. если «у технологии есть проблемы», о них сообщено, но разработчик болт положил и более пяти лет мало что для исправления уязвимостей делает – то, наверное, да, стоит слезть с дохлой лошади.
Хромиум, не? Я, кстати, не вынес из новости, будет ли флеш блокироваться Хромиумом.
И да, они не говорят как пользователям лучше, они говорят разработчикам, как разрабатывать сайты. В данном случае они говорят им "не юзайте старый, ненужный и опасный плагин, юзайте нативное API". А опция "включить флеш обратно", вообще-то, есть, и в статье об этом написано.
Если вам нужен Flash, то изменить параметры плагина можно будет через настройки chrome://plugins/, как обычно.
Насчёт уязвимостей хочу добавить ещё: флеш — плагин, "чёрный ящик". Уязвимость во флеше работает во всех браузерах, потому что этот плагин во всех браузерах одинаковый. Уязвимость в HTML5-технологиях уникальна для браузера, плюс разработчики браузера могут её закрыть самостоятельно, а не ждать, пока Adobe пошевелится.
Насчёт скорости работы: HTML5-API работает быстрее флеша тупо потому, что он — часть движка браузера. У него нет слоя абстракции в виде плагина.
Надеюсь, я смог вас убедить, что это разумный шаг.
Как насчет unity web player? silverlight? Почему пропаганда идет против flash, но не против них? Это такие же плагины с C\C++ кодом внутри, такие же черные ящики, способные навести в моей Windows одному Тюксу известные ужасы, будучи в руках плохих разработчиков.
Это по поводу уязвимостей.
По поводу скорости. Web GL безбожно тормозит. Вы можете не верить мне, но проведите серию тестов на демо, используя ноутбуки с интегрированными видеокартами, с дискретными видеокартами, десктопы с видеокартами старых поколений. А flash player летает на максимальном fps, не нагружая процессор и видеокарту. При условии, что разработчики использовали stage3d как положено, и огранизовали внутреннюю кухню кода в самых лучших традициях гейм дева на C\C++.
Потому что те две технологии мертворожденные? Ну серьёзно, MS silverlight даже из edge выпилила. Поэтому никто особо и не ищет дырки в них — даже если ты её найдёшь, то сможешь атаковать через неё очень небольшое количество людей — это просто невыгодно. И UWP туда же.
И второе следствие из их непопулярности: никто не станет использовать их как замену возможностям HTML5, так как охват аудитории у них никакой. Твой видеоплеер на Silverlight? Никто не станет смотреть видео на твоём сайте. Кстати, есть ещё мобильные браузеры, где плагинов нет как класса, зато html5 — пожалуйста.
Вы можете не верить мне, но проведите серию тестов на демо
Вы мне предлагаете доказывать ваши собственные слова? Спасибо, не буду. К тому же, вы взяли самую непопулярную (пока) часть html5 (которая даже не стандартизирована ещё), но ни слова не сказали про замену, скажем, флешового плеера на элемент
Но это нюансы, я как раз таки не против прогресса, я за развитие html 5, web gl и кодеков для нормального встраивания видео. Как web разработчика меня не радует встраивать черные ящики через тег object.
Однако!
Основной мой тезис в том, что _вместо_ того, чтобы развивать и оптимизировать этот самый html 5, корпорация наезжает на плагин конкретно flash. Под silverlight и unity web player я подразумевал следующую ситуацию — chrome блокирует _именно_ flash контент, а не установку вообще любых закрытых плагинов, реализованных не только на js + html. Они бьют по конкретному лицу, а не по технологии. Это низко, это политика, пропаганда.
https://ru.wikipedia.org/wiki/%D0%90%D0%BD%D0%B3%D0%BB%D0%BE-%D1%80%D1%83%D1%81%D1%81%D0%BA%D0%B0%D1%8F_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F_%D1%82%D1%80%D0%B0%D0%BD%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%86%D0%B8%D1%8F
И еще вам надо понимать, что переводчик Гугла работает не по правилам русского языка, а по мнению большинства в этих ваших интернетах. Грамотность которого… ну вы сами понимаете.
В остальном — не вижу проблем, плееры на html5 выглядят не хуже, чем на флеше, а реклама в любом виде не нужна пользователям.
Впрочем, я, конечно, ничуть не против бума HTML5-геймдева в формате, аналогичном Flash-играм (даже очень за).
Слышу эту мантру уже лет 5 как минимум, а воз и ныне там.
Ничего даже отдаленного танкам онлайн не сделали.
Те команды, которые пытались, плакали горькими слезами и возвращались на флеш.
Не готов еще html5 к геймдеву. Да и равивается оооочень медленно.
Только я вот про WebGL слышу уже много лет, а толку ноль целых хрен десятых.
Это именно будущее, а делать проекты надо сейчас.
Только только начали появляться боле менее рабочие и удобные инструменты.
Сам WebGL только более менее начал хоть как-то сносно работать в разных браузерах.
И все равно, все это Html5-е семейство сильно уступает по удобству и производительности флешу.
Прежде чем его закапывать предоставьте нормально работающую альтернативу.
P.S. Лет наверное 5 ушло у html5 чтобы заменить видосики на флеше.
Сколько уйдет на что бы заменить флеш в играх, вообще непонятно.
Есть нехилый шанс, что только мои внуки смогут это видеть…
Adobe в свою очередь наверное подумали, если не можешь остановить пьянку — надо её возглавить и решили выпустить Edge Animate, прошло несколько лет и что мы видим — проект попросту прикрыли. Нет, серьезно, я не против перехода на новые технологии, но качетсвенных инструментов по работе с ними попросту нет. После того как попробовал возможности визуальной анимации на кадрах, а потом это же тебя просят сделать на CSS3 — понимаешь что это просто трата времени. И это лишь один из примеров, которых множество.
HTML5 гораздо быстрее и производительнее, чем Flash.
… и именно поэтому Google Music написан на флэше. Будет забавно если они не успеют мигрировать.
У меня флеш не стоит и Google Music работает.
Firefox. Проверьте, что у вас все галочки стоят https://www.youtube.com/html5
Работает, в about:plugins у меня только "OpenH264 Video Codec provided by Cisco Systems, Inc.". Причем у меня не самая свежая версия 45.2.0 ESR установленная из репозитория.
У меня 50я (developer edition которая), требует флеш
У вас он вообще не установлен, или просто отключен? Пока я не удалил плагин совсем, у меня SoundCloud его тоже требовал, несмотря на то, что HTML5 давно уже официально поддерживался.
В лисе точно работает без оной технологии, но пока у меня был установлен flash с запуском по запросу — каждый раз запрашивало его запуск. То же было в яндекс музыке
Там синтаксис уже целых 10 лет радикально не менялся. Старьё!
Adobe, впрочем, тоже виноваты — нужно развивать технологию.
Правильно, что Flash постепенно хоронят. Но вот интересный момет: некоторые сайты без флеш (с устаревшим флеш) работают в Chrome, а в Opera blink — нет.
Пример — воспроизведение музыки ВКонтакте (старая версия), coub.
Вроде бы браузер очень близкий родственник хрома, а такое странное поведение.
Нет, я не оправдываю флеш никоим образом — на 90% это дырка в безопасности браузера, но я сам как-нибудь разберусь — нужно оно мне или нет. Хотите обезопасить хомячков — выключите его по-умолчанию — и для хомячков все будет ок. Но оставьте право управлять своим собственным инструментом тем, кому это нужно.
Тут Firefox с 48 версии убрал возможность работать с неподписанными расширениями — типо вредно оно и опасно.
И пофиг, что у меня 8 моих собственных расширений, которые я делал для себя и с которыми я постоянно работаю (и которые, естественно, неподписанные — ибо для себя) иии оппа! и Ваш браузер превращается в тыкву!
Теперь они решили резко, что мне не нужен флэш — опять-же за меня.
Хреновая какая-то тенденция. Может и контент подсовывать только безопасный и точно нужный только мне — а на другие сайты — нини — не пускать?! А вдруг че? Дяди решили, что туда лучше не ходить!
Чувствую я, что либо придется на другие сборки переходить, либо опять искать хаки. :(
Если вам нужен Flash, то изменить параметры плагина можно будет через настройки chrome://plugins/, как обычно.
У вас останется право управлять инструментом
Ну значит не так все плохо, как кажется на первый взгляд :)
Нужно зарегаться MDN, получить ключ и переподписать каждое из дополнений, потом каждое из них переустановить.
При этом все это — абсолютно бесполезная для меня трата времени — ибо все работало и без этого, и после всего этого квеста никаких новых фич не появится — т.е. это просто геморрой, который навязали сверху.
Ну это еще пол беды — у меня есть несколько расширений (например Gesture Redox), которые не мои и очень старые и не поддерживаются — но я к ним привык, и чуток дописал, чтобы работали на современных FF — они отвалились тоже.
Я, конечно, могу и их переподписать — но тогда, если в один прекрасный день их авторы сделают новую версию — я даже знать про это не буду — ибо переподписанные расширения моим ключом — это совершенно другие расширения.
в один прекрасный день запретил пользовать неодобренные (неподписанные) приложения. И пол коллекции, вполне годных и безопасных ушли в утиль.
(сперва была возможность «разрешить на свой страх и риск». А потом решили, что неча умных плодить. Нельзя и всё!)
HTML5 гораздо быстрее и производительнее, чем Flash.
На моём стареньком нетбуке 2012 года, кода на ютубе был Flash Player я мог спокойно смотреть 1080p без тормозов.
А сейчас даже 720р не могу посмотреть с этим HTML5, проц на 100% загружен сразу и происходят жуткий фризы.
… а вот Flash — умеет!
… кстати, треду ниже — webm и прочую VP* ересь можно отключить в about:config Firefox'а, тогда как раз h264 и получится.
Сам пользуюсь, потому что:
— в HTML5 иногда (черт знает от чего зависит — от конкретных видео) недоступны наиболее высококачественные HD варианты записи, а на флеше они доступны
— HTML5 часто наблюдается теаринг картинки (в отличии от флеша не работает vsync)
— HTML5 сильнее грузит процессор, хотя в моем случае это не принципиально — в обоих компах процессоры приличные, так что хватает. Но по мониторингу видно, что грузит сильнее.
А d HTML5 проблема как раз только с HD — часть записей дает выбрать только до 480p максимум или 720p максимум, тогда как через флеш-плеер все варианты качества доступны вплоть до 4к. И не на всех видео — на большей части все-таки и HTML5 макс. качество доступно, и оно работает (хоть и грузит сильно процессор при этом) — т.е. он все это вполне может и умеет. Но почему-то не везде…
Тогда как «тормозной флеш» спокойно пережевывает такие видео.
Например Lenovo SL400 на Intel 4500 — в mpc/kodi 1080/30p идёт без проблем, а в ютубе уже притормаживает.
Давно бы уже написал для таких старых устройств плагин, который был на ютубе подменял видео на встраиваемый видео контейнер с VLC/MPC/WMP (особенно с SVP плавностью)
Хорошая штука была, отлично конвертировала почти все ролики.
Уж сделали бы его открытым и доступным для скачивания тогда. Может им петицию написать?
И не очень ясно, могу ли я использовать это вне Firefox, а то они предлагают расширение.
Т.е. у меня есть .swf, как мне его конвертнуть в js+html (как это было в swiffy)?
Поддерживать две параллельные технологии нет смысла.
/********************/
HTML5 гораздо быстрее и производительнее, чем Flash. Google обещает, что пользователи Chrome сразу заметят ускорение загрузки многих сайтов и более длительное время работы от аккумуляторов на ноутбуках и других мобильных устройствах.
/********************/
Что флеш тормозит на ноуте, что html5 :D Я могу что-то заметить только купив новый и более мощный ноут. Но там как html5 лучше будет работать, так и флеш.
Так, хорошо. А как теперь добавлять в буфер обмена без flash по нажатию кнопки?
https://clipboardjs.com/ — больше библиотек богу библиотек!
Ну а если серьёзно, то
document.execCommand('copy');
нынче поддерживается уже почти всем.
Вот только VODы пока без флэша никак не идут.
Критическая масса уже достигнута, «погугли» говорят почти везде. В таких масштабах уже ты управляешь «трендом» и выбором пользоватлей.
А на HTML5 можно разве что видео смотреть. Да и то, не в лучшем рендере.
Какая хорошая идея. А можно сделать то же самое с javascript? А то от него тормозит html веб.
Адоби сейчас нанимают людей для С++ >>> asm.js/emscripten/webassembly.
SFW был идеальный вариант, анимацию в нём можно составить хоть из jpg картинок, весит копейки, и можно выставить любую скорость, хоть 60 кадров в сек, всегда шло плавно и стабильно,,, жаль, очень жаль
Не стал все комменты перечитывать, но для меня эта новость означает, что либо я буду пользоваться неактуальным браузером (что нестрашно, ибо брокадовские консоли работают и так на устаревжей джаве 7 update 25), ибо потеряю доступ к инфраструктуре.
В сентябре Chrome начнёт полностью блокировать Flash