Firefox: Mozilla schraubt Unterstützung für Flash-Inhalte weiter zurück

Flash Player unerwünscht (Bild: ITespresso mit Material von Shutterstock und Adobe)

Ab August wird Firefox “Flash-Inhalte blockieren, die für die Nutzererfahrung nicht unbedingt erforderlich sind”. Damit sind unter anderem Methoden zur Effizienzprüfung von Werbung und zum Nutzertracking mittels Fingerprinting gemeint. 2017 müssen Firefox-Nutzer dann ihre Zustimmung immer per Klick geben, bevor Webseiten das Flash-Plug-in aktivieren.

Mozilla hat weitere Schritte angekündigt, um einerseits Problem durch das Plug-in für den Flash-Player zu reduzieren und andererseits Alternativen zu Flash besser zu unterstützen und deren Verbreitung zu fördern. Damit schlägt Mozilla einen ähnlichen Weg wie Google ein: Der Konzern hatte seinen Fahrplan für den Abschied von Flash auf Raten bereits im Mai vorgelegt.

Firefox (Grafik: Mozilla)

Das Plug-in für den Adobe Flash-Player sorgt nicht nur für häufige Abstürze des Browsers, sondern ist wegen seiner großen Verbreitung und hohen Anfälligkeit für Sicherheitslücken auch ein beliebtes Ziel von Hackern. Auch weil Adobe das Sicherheitsproblem nicht in den Griff bekommt, sind Alternativen stark auf dem Vormarsch. Vielbesuchte Webseiten wie YouTube und Facebook setzen zum Beispiel zum Abspielen von Videos seit vergangemen Jahr schon auf HTML5.

Aber auch die maßgeblichen Browser-Entwickler, darunter auch Mozilla, haben in der jüngeren Vergangenheit einiges unternommen, um Flash-Inhalte zu ersetzen. Nun wird Firefox ab August “Flash-Inhalte blockieren, die für die Nutzererfahrung nicht unbedingt erforderlich sind”. Laut Mozilla sollen aber “wichtige Inhalte natürlich weiterhin unterstützt werden”. Von diesen und weiteren geplanten Änderungen verspricht man sich “verbesserte Sicherheit, eine längere Akkulaufzeit, schnelleres Laden von Webseiten und eine insgesamt bessere Reaktionsfähigkeit des Browsers.”

Zunächst werden einige für Nutzer nicht sichtbare Flash-Inhalte blockiert. Dabei handelt es sich im Wesentlichen um Flash-Inhalte, die kleiner als 5 mal 5 Pixel sind und die Flash’-APIs enumerateFonts und ExternalInterface aufrufen, um so eine Liste aller auf dem Rechner installierten Schriftarten zu erhalten. Da diese Liste sehr indiviudell ist und – notfalls zusammen einigen anderen Merkmalen – zur eindeutigen Identifikation genutzt werden kann, wird sie für das sogenannte Fingerprinting eingesetzt. Darunter versteht man die Identifikation eines Nutzers für Werbezwecke ohne dessen Zutun, also selbst wenn dieser keine Cookies zulässt. Aber auch sogenannte “Supercookies”, laut Mozillas Definition Shockwave-Inhalte kleiner als 5 mal 5 Pixel, die die Flash-API SharedObject aufrufen und den String “Cookie” enthalten, werden künftig nicht mehr abgespielt.

Von den von Stormshield für das Vulnerabilities Barometer untersuchten Programmen wiesen Adobes Flash Player, Google Chrome und Mozilla Firefox die meisten Schwachstellen auf (Grafik: Stormshield)
Von den durch das IT-Security-Unternehmen Stormshield für sein “Vulnerabilities Barometer” untersuchten Programmen für die Windows-Plattform wiesen Adobes Flash Player, Google Chrome und Mozilla Firefox die meisten Schwachstellen auf. (Grafik: Stormshield)

Bereits dadurch soll Mozilla zufolge erreicht werden, dass Flash-Anwendungen um bis zu zehn Prozent seltener abstürzen oder sich aufhängen. Webseiten-Betreiber könnten diese Flash-Inhalten zudem durch HTML ersetzen. “Auf lange Sicht” wolle man die Liste der geblockten Plug-ins jedoch erweitern.

Noch im Laufe des Jahres soll etwa Flash in Firefox dann nicht mehr genutzt werden können um zu überprüfen, ob Inhalte vom Nutzer gesehen wurden. Das wird aktuell verwendet, um die Auslieferung von Werbung zu messen. Davon verspricht sich Mozilla mehr Performance und eine längere Akkulaufzeit. Content-Produzenten, die Flash noch wie oben beschrieben nutzen, empfiehlt Mozilla, auf die HTML Intersection Observer API umzusteigen. Die soll gleichzeitig zu dem Termin bereitgestellt werden, an dem die Funktion für Flash von Firefox dann unterdrückt wird.

Zahlen von Mozilla zufolge geht die Anzahl der Abstürze aufgrund von Fehlern in Plug-ins seit der zunehmenden Nutzung von HTML5 für Videos deutlich zurück. (Grafik: Mozilla)
Zahlen von Mozilla zufolge geht die Anzahl der Abstürze aufgrund von Fehlern in Plug-ins seit der zunehmenden Nutzung von HTML5 für Videos deutlich zurück. (Grafik: Mozilla)

Bereits jetzt können Anwender bei Firefox und Chrome Plug-ins wie Flash, PDF, Java oder Silverlight so einstellen, dass sie Inhalte nicht automatisch, sondern erst nach Zustimmung abspielen. Diese Funktion wird als “Click-To-Play” bezeichnet. Jetzt erklärt Mozilla, dass 2017 Firefox-Nutzer ihre Zustimmung per Klick “für jedwede Art von Inhalten” geben müssen, bevor Webseiten das Flash-Plug-in aktivieren. “Click-To-Play” ist dann also nicht mehr optional einstellbar, sondern per Default vorgesehen.

Betreibern von Seiten, die für Videos oder Spiele derzeit auf Flash oder Silverlight zurückgreifen, empfiehlt Mozilla, “möglichst bald” zu HTML-Technologien zu wechseln. Für verschlüsselte Videowiedergabe unterstütze Firefox als Alternative zu Plug-ins momentan Adobe Primetime und Google Widevine. Andere NPAPI-Plug-ins als Flash wird Firefox nun ab März 2017 nicht mehr unterstützen. Sie bekommen damit noch einmal eine Gnadenfrist von drei Monaten. Ursprünglich hatte Mozilla seit den neunziger Jahren benutzten Standard (Netscape Plug-in Application Programming Interface) für Browser-Plug-ins für Ende 2016 abgekündigt. Sie lassen sich dann nur noch mit dem ebenfalls für März 2017 geplanten, nächsten Firefox Extended Support Release nutzen, das Plug-ins wie Silverlight und Java noch bis Anfang 2018 unterstützen wird.