Создает ли наличие флеш-баннера на сайте уязвимость на сайте по своей сути?
Действительно ли наличие флеш-баннера по своей сути открывает сайт для эксплойтов, или есть способ гарантировать, что флеш-баннер не имеет "доступа" ни к чему важному на странице.
Рассматриваемая страница является страницей входа в систему.
1 answers
Как конечный пользователь, простой ответ на этот вопрос: "просто не позволяйте баннеру запускаться". Термин "баннер" наводит меня на мысль, что апплет несущественен, т. Е. Его блокировка не помешает работе страницы.
Как веб-мастер, очевидный ответ - просто признать, что Flash мертв, и удалить апплет, так как 90 % ваших пользователей все равно его не увидят, если вы не создадите для них учебник о том, как войти в настройки браузера и повторно включить flash и/или проинструктировать их чтобы разрешить апплет. Любые учебные материалы, которые вы создадите, в любом случае будут работать только в течение следующих 11 месяцев, пока Flash не покинет браузер навсегда.
Что касается контекста, современные браузеры в настоящее время либо однократно, либо дважды подключаются к Flash - они не просто запускают его автоматически из соображений безопасности:
Chrome оба требуют, чтобы Flash был явно включен в настройках, а затем также включен на основе каждого сайта. Он будет полностью удален к декабрю 2020.
Firefox требует, чтобы Flash был явно включен как для каждого сайта, так и для каждого апплета, и Flash будет полностью удален к декабрю 2020.
Edge требует, чтобы Flash был включен на основе каждого сайта, и, как вы уже догадались, поддержка будет удалена к декабрю 2020.
Поддержка Flash для мобильных браузеров встречается редко - только менее популярные альтернативные браузеры поддерживают ее на мой знания.
Чтобы ответить на ваш вопрос напрямую, я бы в настоящее время не доверял безопасности Flash. Поскольку его использование продолжает сокращаться, это означает, что он все меньше и меньше следит за ним в поисках уязвимостей безопасности, и основные уязвимости, такие как выполнение произвольного кода, были обнаружены совсем недавно, в 2019 году . С другой стороны, Flash - это код на стороне клиента, хотя, насколько мне известно, любой потенциальный эксплойт будет ограничен контекстом машины пользователя с шиной. Другими словами, у злоумышленника нет возможности автоматически "совершить прыжок" и также скомпрометировать сервер, если только он не найдет отдельный серверный эксплойт для его подключения.
Но это только проблема , если пользователь решит включить Flash в настройках своего браузера, а затем явно разрешить запуск апплета баннера на вашем сайте. Для меня не имеет никакого смысла заставлять пользователя прыгать через эти обручи, чтобы включить несущественную часть страницы, поэтому, на мой взгляд, имеет больше смысла просто удалить апплет Flash.
С другой стороны, если баннер на самом деле необходим для функционирования страницы, то, вероятно, вы также мало что можете сделать для его исправления, кроме как переписать функциональность без использования Flash.