Pages

Saturday, 27 February 2021

Flash大陆更新版——绿洲还是陷阱?

来源:
自由亚洲

2020年2月26日,Flash Player官网翻拍。Flash母公司Adobe宣布从2020年12月31日起停止支援Flash Player。(自由亚洲)

问:虽然Flash在全世界绝大部分国家都已经停用,但唯独中国是例外,甚至还有大厅版的新版本推出。如果Flash官方愿意在中国继续提供更新,那在中国的网民,又应否继续使用Flash插件,用作浏览不少仍然使用Flash技术的网站?

李建军:由于中国特殊国情,Flash公司授权一间中国公司,继续在大陆推出更新版。尽管如此,国内的网民都不应再用Flash。理由除了HTML 5可以更安全做到Flash一样的事之外,更重要的问题在于其保安上的“原罪”。Flash遭到全球各大软件公司抵制,以至于绝大部分国家都要停用Flash的原因在于,Flash本身的保安缺陷是整体有问题,并不能够透过小修小补去解决。所以坚持使用Flash与使用危险软件无分别,这也是为何各大作业系统以至浏览器开发商都采取十分强硬的立场,封锁Flash软件的原因。我看不到Flash中国大厅版有任何过人之处,可以克服Flash长久以来的缺陷。如果你以为大厅版很安全,那根本是一个幻象,其实对用户是更加危险。若非中国的网站长期以来漠视Flash的问题坚持用Flash,中国根本就可以与世界各国同步,在今年一月就停用Flash,而并非安装所谓的大厅版,留下安全隐患。

问:Flash“退休”后,分布世界各国的网民陆续收到电邮通知,声称有Flash更新版可供下载,结果提供的只是木马病毒。这种钓鱼手法是否针对中国的用户特别定制?

李建军:世界各国的用家,除了少数不留意作业系统提示那些人外,绝大部分都知道Flash已经完成历史任务,所以在收到这类钓鱼电邮时甚少上当,但正正因为中国仍然有所谓大厅版、官方版等版本下载,Flash在中国仍然是使用中的软件,并非使用寿命已完结的产品,故此中国用户对这类钓鱼电邮特别容易中计,下载了一个比大厅版更危险的软件懵然不知。相信写出这类钓鱼电邮的黑客,亦很可能是中国黑客,因为钓鱼电邮很多时技术上很简单,但能够成功,往往取决于社会结构和心理的问题,比如利用人身处的环境所造成的判断漏洞去犯案,而并非技术水平特别高。

问:Flash问题依旧,难保用户安全。但假若身处国内的网民因工作需要,或要处理一些政府事务需要,非用Flash不可,那应该怎么办?

李建军:首先,你要确认你是否真的非要使用Flash不可,因为在绝大部分情况下,其实相关网站都有不用Flash的版本。像那种停用Flash就几乎连火车都调动不了的火车站并非十分之常见的情况。

如果你真的遇上非用Flash不可的网站,你可以考虑另外使用旧电脑,又或在日常使用的电脑上另装虚拟机器,在旧电脑或虚拟机器运行Flash,而且这部专用电脑上一定不可以处理任何敏感资讯。如果你选择用另一部旧电脑处理Flash网页问题,那么每次在电脑用完后,应该关闭电脑,终止连网,以免一旦中了奇怪木马,电脑上其他的资讯被窃取。如果你选择另装虚拟机器,处理办法十分简单——要用时才执行虚拟机器,怀疑虚拟机器有问题,可以立即删除,以未受感染的新机器取代。使用虚拟机器,同样适用于要执行一些政府网站的情况,除非涉及一些虚拟机器实物硬件,例如个别银行使用的USB认证手指,但这种情况,只会越来越少。

问:除了Flash,IE浏览器是另一个公认不安全的插件,但在中国也是仍然坚持广泛采用,何解?

李建军:对当权者而言,软件的保安漏洞不一定是坏事,因为这些保安漏洞,可以用作监控人民之用。HTML 5、开放源码浏览器等不但更安全,而且都是免费。明明有一堆免费软件可用,却仍然坚持要用漏洞百出的技术,那么,这已非盗版横行的问题可以解释,而是中国的企业和当局故意作为。其实在过去三年,绝对有足够时间将网页或软件由使用Flash和IE的技术,过渡到使用现代标准的技术。因此,中国的情况是非常之特殊,只有中国才会坚持使用在世界各国公认过时的软件。


from 博谈网 https://botanwang.com/articles/202102/flash%E5%A4%A7%E9%99%86%E6%9B%B4%E6%96%B0%E7%89%88%E2%80%94%E2%80%94%E7%BB%BF%E6%B4%B2%E8%BF%98%E6%98%AF%E9%99%B7%E9%98%B1%EF%BC%9F.html