Baldanders.info

「Flash が無料でも皆さんの時間は無料ではない」

ここまで言わなくてもいいんじゃ,とは思うのだが

最近はAdobe自身がFlashを嫌っているのは公然の秘密だ。Flashはウェブの黎明時代にはそれなりの役割を果たしたが、HTML5その他のウェブ標準が整備されるにつれて、デベロッパーは非効率でセキュリティー上の問題を抱えるFlashプラグインに次第に頼らなくなっている。GoogleのYouTubeはすでにFlashではなくHTML5を標準として採用しているし、Chromeはウェブページ中で重要性の低いFlashコンテンツの自動再生をブロックするようになった。
致命的脆弱性の発見でFirefoxがFlashを一時的にブロック中―Adobeのパッチをインストールすれば復活 | TechCrunch Japan より
米フェイスブックのCSO(最高セキュリティ責任者)であるAlex Stamos氏は2015年7月12日(現地時間)、「米アドビシステムズはFlashの終了日を早急に発表し、Webブラウザー提供者に対して同じ日にFlashを無効化する措置を要請するべきだ」とTwitter上で発言し、話題を呼んでいる。
ニュース - 「アドビはもうFlashを"終活"すべし」、Facebookのセキュリティ責任者:ITpro より
このことは、Flashが無料でも皆さんの時間は無料ではないことを私たちに思い出させます。
エフセキュアブログ : Adobe Flashをより快適または安全にするための3つの方法 より

まぁ,しかし,こうも立て続けだとウンザリしてしまうというものである。 Flash は 0-day 脆弱性を引き起こしやすい。

今回もこれで終息することは恐らくなくて,未発見や未公表の脆弱性はまだ相当あるだろうし,その中には既に悪用されているものもあるかも知れない。 これは Adobe が悪いわけではないだろうが年に数回程度のペースで 0-day 脆弱性が発覚してしまうのは Flash 自体に何か構造的な欠陥があるのではないかと思われても仕方ない。

かつて iOS が Flash を見限ったのはマーケティング戦略上の問題(または設計上の制約)だったのかもしれないが(だって Mac OS X はまだ Flash を見捨ててないし),怪我の功名と言うべきか,ネット全体で見ても Flash を捨てる準備は着々と進行している。

IPA などの公的機関は(Adobe が正式に give up するまで)言ったりしないだろが,個人的には Flash はセキュリティ・リスクだと思う。 本当に必要がないのならアンインストールすべき。 私はだいぶ前にメインで使う Firefox から Flash を排除したが日常生活に困ることはない。

ただし Chrome や Windows 8 以降の IE や Edge は Flash を内蔵してるので注意が必要。 つか Google も Microsoft も Flash は opt-in にしていただけないものかねぇ。 内蔵にする必然性がない。

製品自体に明確な欠陥がなくても(標的にされやすいという意味で)セキュリティ・リスクを抱える製品は Flash 以外にもある。 たとえば Java や Wordpress あたりは典型的だ。 Java はサーバ側でよく使われるため, Java や Java を使うエンジニアは標的にされやすい。 Java 8 以降は 0-day 脆弱性はかなり減ったが,それでも皆無ではないし, Java 8 より前のバージョンを使ってるところもあるかも知れない(ちなみに Java 7 およびそれ以前のバージョンの Oracle Java の無償サポートは終了している)。

困ったことに IPA が提供している icat は Flash だし(Twitter 版もあるけど), MyJVN が提供するバージョンチェッカは Java なんだよねぇ(.NET 版もあるけど)。 そろそろ止めない,これ。

安全なネットライフを。