南非政府自研浏览器续命Flash

admin 2021年1月31日02:00:50评论186 views字数 3372阅读11分14秒阅读模式

南非政府自研浏览器续命Flash


写在前面的话

对于某些人来说,管理自己的浏览器显然要比将一些Web表单从Flash形式移植为HTML要更加的简单!是的,你没听错!为了重新支持Flash插件,南非政府竟然开发并发布了一款他们自己的浏览器。

 

关于Adobe宣布停止支持Flash

早在2017年,Adobe公司就已经宣布计划在2020年底停止支持Flash。20年来,Flash帮助塑造了你在网上玩游戏、看视频和运行应用程序的方式。但在过去几年里,Flash变得不那么常见了。三年前,80%的桌面Chrome用户每天都会访问一个带有Flash的网站。今天的使用量只有17%,而且还在继续下降。

当网站开始需要你的许可才能运行Flash时,这些开放的网络技术成为Chrome的默认体验。Chrome将在未来几年继续逐步淘汰Flash,首先要征得你的许可,让你在更多的情况下运行Flash,最终在默认情况下禁用它。到2020年底,我们将彻底移除Chrome的Flash。如果您现在经常访问使用Flash的站点,您可能会想知道这将如何影响您。如果站点迁移到开放web标准,除了不再看到在该站点上运行Flash的提示之外,您不应该注意到有什么不同。如果该网站继续使用Flash,并且您允许该网站运行Flash,那么它将一直运行到2020年底。

这一趋势表明,网站正在转向开放的web技术,这种技术比Flash更快、更省电。他们也更安全,所以你可以更安全的购物,银行,或阅读敏感文件。它们也适用于手机和台式机,所以你可以在任何地方访问你喜欢的网站。

南非政府自研浏览器续命Flash
自2020年12月以来,Flash Player一直没有收到任何更新,自从HTML5和其他替代品出来后,它的市场占有率一直处于下降的轨迹。Adobe计划结束对Flash Player的支持已经有几年了,它也一直在与科技巨头密切合作,禁用Flash播放器。

 

南非政府选择发布自己的浏览器

根据媒体报道的最新消息,南非税务局(South African Revenue Service)本周发布了一款他们自己定制开发的Web浏览器,其唯一目的是重新启用Adobe Flash Player支持。之所以这样做,是为了支持其站点原有的一些Web表单,因为他们并不打算将现有网站中的表单从使用Flash移植到基于HTML的Web表单。

众所周知,2020年12月31日就是Flash Player官方宣称的寿命终止日期(EOL)。届时,Adobe将会正式停止对该软件提供安全和技术支持。

为了防止现实世界中的用户和网站仍然继续在使用Adobe Flash Player从而导致用户安全性受到影响,Adobe公司还从今年的1月12日开始引入了一种类似“定时炸弹的机制”来阻止Flash内容在Web以及其他应用程序内播放。

正如Adobe公司所设想的那样,这是他们最后一步要执行的计划了,他们打算通过这种方法来阻止各个组织、机构和企业继续使用Adobe Flash Player,并迫使广大开发人员跟新自己的应用程序系统然后删除Adobe Flash Player这款应用程序。

南非税务局(South African Revenue Service)在2021年1月12日通过发推文表示,他们机构的Web应用程序也受到了Adobe所设计的“定时炸弹”机制的影响。从那天开始,他们就无法通过其门户站点(Web应用程序)接收任何的税务申报表了,而他们当时在Web应用程序中所使用的税务申报表上传功能基于的是Flash插件来开发的。

南非税务局(South African Revenue Service)在其发布的推文中写到:“SARS已经发现某些表单由于Adobe Flash的原因而无法正确地加载。我们的开发人员目前正在努力解决这些问题,一旦问题得到解决,我们将给用户提供操作建议。对于目前给广大用户所带来的不便,我们深表歉意。”

南非政府自研浏览器续命Flash
但是,尽管南非税务局(SARS)有大概三年半的时间来准备和应对这种情况(Adobe Flash Player停止使用),但他们并没有选择将原先基于Flash小工具的表单功能移植到基于HTML和JavaScript的表单之上,而任何一个Web开发人员心里都明白这有多么简单。

取而代之的是,南非税务局(SARS)的开发人员决定采用一种IT历史上“最为令人兴奋的”错误方式,即开发并发布他们自己的Web浏览器…

安全人员Tom Kennedy(@tkennedysa)在2021年1月25日还专门发推文表示:“我们不仅要小心Chrome、Safari和Firefox,现在竟然又蹦出来一个SARS浏览器,这下子我们岂不是变成全行业内的笑话了!”

本周周一,该机构在其官方网站上发布的新型SARS eFiling浏览器相当于是一个精简版的Chromium浏览器,该浏览器有两大主要功能。第一个功能是重新启用了针对Adobe Flash Player的支持,第二个功能就是允许用户访问SARS eFiling网站。

正如Mozilla软件工程师Chris Peterson所指出的,SARS浏览器只允许用户访问SARS的官方网站,这在一定程度上降低了用户在浏览网页时由于Adobe Flash漏洞导致自己计算机系统受感染或攻击的风险。

但也正如其他用户所反映的那样,这种行为对于用户访问并填写南非税务局(SARS)的线上表格来说,从可访问性上来看并没有多大作用,因为这款浏览器只适用于Windows用户,目前还不支持macOS、Linux和移动端操作系统,因此使用这些操作系统的用户仍然无法正常申报税收情况。

还有一位名叫Stephan Eggermont(@StOnSoftware)推特用户还吐槽说:“请你们南非税务局(SARS)告诉我,我们这些Linux、iOS、Android和macOS用户应该怎么办?”

 

总结

毫无疑问,该组织所采用的这种通过自定义浏览器来解决问题的方式是非常狭隘的,因为他们本应该直接将网站上原有的Flash表格组件移植为HTML表单就可以了。在被问及到相关问题时,南非税务局(SARS)的一位发言人并没有回复记者的置评请求。

不过,虽然目前南非税务局(SARS)针对Adobe Flash Player停止技术支持的这件事情做出了出人意料的反应,但它只是众多受此影响组织中的一个例外,因为绝大多数的组织、机构和公司都已经将他们的业务脱离了Adobe Flash Player。

当然了,这种例外的情况和糟糕的决策肯定会成为头条新闻,但实际上整个行业早都已经知道这一天迟早会导来,因此正常情况下我们应该早就做好准备并采取相关措施来避免自己的服务受到Adobe Flash Player“停更”的影响。

 

后话

无独有偶,实际上就在上个礼拜,大连火车站就不小心成为了上述特例中的一个。根据相关报道,大连火车站所使用的内部信息系统是基于Flash构建的,而Adobe Flash Player的下线直接导致大连火车站不得不停止所有的铁路交通运输服务。

但是后面又有知情人士透露称,这一则消息其实是假的。因为有媒体的报导澄清道,大连的铁路交通从来没有因为Adobe Flash Playe的下线而中断服务过。不过,报道中也承认了,最初的报道有一定的真实性。事实上,大连火车站内部的一些交通统计系统已经在2021年1月12日停止运行了,因为当时Adobe的机制已经阻止并屏蔽了Flash内容。

为了解决这个问题,大连火车站的内部信息系统最终将原Flash组件升级成了Adobe专为中国官方提供的最新Flash Player版本。这个版本是Adobe仅在中国境内提供使用的,该版本不包含1月12日发布的“定时炸弹”机制,并且支持在Adobe Flash Player下线后继续正常使用。

演示视频:https://youtu.be/S6dPM1KHyYA

译文声明

译文仅供参考,具体内容表达以及含义原文为准。

南非政府自研浏览器续命Flash


- End -
精彩推荐
基于智能手机的近源渗透案例分享——“点到为止”的测试某网络安全公司
Weblogic Server远程代码执行漏洞(CVE-2021-2109)调试分析
2020 *ctf 部分pwn writeup
emp3r0r - Linux下的进程注入和持久化

南非政府自研浏览器续命Flash

戳“阅读原文”查看更多内容

本文始发于微信公众号(安全客):南非政府自研浏览器续命Flash

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月31日02:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   南非政府自研浏览器续命Flashhttps://cn-sec.com/archives/258052.html

发表评论

匿名网友 填写信息