Flash: Waarom gebruikt u het eigenlijk nog?

Flash: Waarom gebruikt u het eigenlijk nog?

DearBytesBlogFlash: Waarom gebruikt u het eigenlijk nog?

Adobe Flash PlayerWanneer u een doorsnee groep eindgebruikers vraagt of Adobe Flash veilig is, dan krijgt u verschillende antwoorden. De meesten daarvan met weinig overtuiging. Wanneer dezelfde groep gebruikers een bestand farmville.exe ontvangt, dan opent het grootste gedeelte van de groep dit bestand niet. Maar wat is het resultaat als deze groep gebruikers het bestand farmville.swf ontvangt?

HTML5

Vroeger werd Flash gebruikt voor multimedia content zoals filmpjes en spelletjes. Met de komst van HTML5 is dat niet meer nodig en veel websites stappen dan ook over naar het gebruik van HTML5 voor het leveren van multimedia content. Hierdoor is de noodzaak om over Flash te beschikken behoorlijk  afgenomen. Het is daarmee eigenlijk wel bijna legacy en wordt tegenwoordig vooral gebruikt in advertenties en door een aantal specifieke websites en daarmee is het bereik nog altijd enorm.

Recent is opnieuw een aantal CVE’s aangemaakt voor Adobe Flash. Met name de Flash-players voor Internet Explorer en Firefox bleken kwetsbaar. Het duurde enige tijd voordat Adobe met een update kwam voor de eerste vulnerability en hierop werd in korte tijd een tweede vulnerability bekend.

Voor de systeembeheerders onder ons zijn de recente ontwikkelingen het laatste slechte nieuws in een lange geschiedenis van problemen. Het updaten van de Adobe Flash-player is, zonder tooling, over het algemeen niet het meest plezierige werk van een systeembeheerder. Flash verschijnt bovendien in een aantal smaken, bijvoorbeeld als player voor Internet Explorer en als player voor Firefox. Die moeten allemaal worden geüpdatet. Hoe gemakkelijk dat is, hangt sterk af van de omstandigheden. Over het algemeen kun je zeggen: Up-to-date brengen én houden van Flash op endpoints is geen sinecure. Ook geldt dat Flash in veel organisaties automatisch wordt geïnstalleerd, “gewoon omdat het erbij hoort”.

Ik zou ieder bedrijf, dat de Flash-player heeft geïnstalleerd op endpoints, adviseren om vraagtekens te plaatsen bij de noodzaak daarvan. In veruit de meeste gevallen is een volledig dekkende uitrol van Flash niet nodig voor de bedrijfsvoering en levert het verwijderen van Flash geen functionele beperkingen op. Het uitschakelen van de Flash-player verkleint het potentiële aanvalsoppervlak en vergroot dus de veiligheid.

Flash afhankelijke toepassingen

Wanneer u online zakelijke toepassingen gebruikt die afhankelijk zijn van Flash, bent u tenminste deels afhankelijk. In dat geval is het een goed idee om het bestaan van Flash te beperken tot de endpoints waarop dit noodzakelijk is. Wanneer u offline toepassingen gebruikt waarvoor Flash nodig is valt het programma te blokkeren in de gateway, bijvoorbeeld door gebruik van McAfee Web Gateway of een soortgelijke oplossing.

Ook valt te overwegen om, in plaats van Adobe Flash, Google Chrome uit te rollen naar endpoints. Google Chrome installeert automatisch updates wanneer het wordt opgestart. U bent er dan van verzekerd dat u een recente versie gebruikt. Ook is het mogelijk om Chrome uit te rollen middels een msi en te configureren middels Group Policy. Set up Chrome for Work.

Wanneer er helemaal geen Flash nodig is voor de bedrijfsvoering, is Adobe Flash wat mij betreft niet meer dan ballast, waarvan u zich eigenlijk niet snel genoeg van kunt ontdoen.