Categories: BrowserWorkspace

Google Chrome spielt ab September keine versteckten Flash-Inhalte mehr ab

Google hat jetzt den nächsten Schritt zur Verbannung von Flash aus dem Web angekündigt: Mit dem für September geplanten Chrome 53 sollen standardmäßig keinerlei versteckte Flash-Inhalte mehr angezeigt werden. Mit der Ankündigung steht nun offiziell fest, was bereits im Mai inoffiziell durchgesickert war.

Damit setzt Google dann im nächsten Monat etwas um, was Mozilla für Firefox bereits diesen Monat und Microsoft mit seinem neuen Browser Edge im Zuge des Anniversary Update getan haben. Bereits jetzt können Anwender bei Firefox und Chrome Plug-ins wie Flash, PDF, Java oder Silverlight so einstellen, dass Inhalte damit erst nach Zustimmung abgespielt werden.

Diese als “Click-to-play” bezeichnete Funktion soll laut Mozilla bei Firefox dann 2017 “für jedwede Art von Inhalten” erforderlich werden, bevor Webseiten das Flash-Plug-in aktivieren. Bei Chrome soll die Funktion ab Dezember mit Chrome 55 standardmäßig für alle Flash-Inhalte aktiviert sein. Der Google-Browser wird dann nur noch Webseiten, die ausschließlich aus Flash-Inhalten bestehen, mit dem Plug-in anzeigen, aber auch das nur noch nachdem Nutzer zuvor in einer Dialogbox ihre Zustimmung gegeben haben.

Laut Google-Mitarbeiter Anthony LaForge, der für Flash in Chrome zuständig ist, werden heute rund 90 Prozent der Flash-Inhalte im Web im Hintergrund geladen und von Diensten wie Analysewerkzeugen genutzt. Sie hätten daher für den Besucher der Website keinen Nutzen und würden lediglich dafür sorgen, dass die Seite langsamer lädt. Diese Inhalte sollen nun mit Chrome 53 geblockt werden. Bereits im September vergangenen Jahres wurde mit Chrome 42 die Standardeinstellung für viele Flash-Inhalte, die für die Webseite als solche nicht als wesentlich eingestuft wurden, auf Click-to-play gesetzt.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als “kritisch” eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).

Die Browser-Plug-ins für den Adobe Flash-Player sorgen nicht nur häufig für Abstürze, sondern sind wegen ihrer großen Verbreitung und hohen Anfälligkeit für Sicherheitslücken auch ein beliebtes Ziel von Hackern. Nicht zuletzt deshalb sind Alternativen stark auf dem Vormarsch. Vielbesuchte Webseiten wie YouTube und Facebook setzen zum Beispiel zum Abspielen von Videos schon seit vergangenen Jahr auf HTML5.

Bei den nicht sichtbaren Flash-Inhalten handelt es sich im Wesentlichen um Flash-Inhalte, die kleiner als 5 mal 5 Pixel sind und die Flash-APIs enumerateFonts und ExternalInterface aufrufen. Sie erhalten so eine Liste aller auf dem Rechner installierten Schriftarten. Da diese Liste sehr individuell ist und – bei Bedarf zusammen mit einigen anderen Merkmalen – zur eindeutigen Identifikation genutzt werden kann, wird sie für das sogenannte Fingerprinting verwendet. Dies ermöglicht die Identifikation eines Nutzers für Werbezwecke ohne dessen Zutun und selbst dann, wenn er keine Cookies zulässt. Zu diesen Inhalten gehören auch die sogenannte “Supercookies”, in der Regel Shockwave-Inhalte kleiner als 5 mal 5 Pixel, die die Flash-API SharedObject aufrufen und den String “Cookie” enthalten. Auch sie werden künftig nicht mehr abgespielt.

Von den vom Security-Anbieter Stormshield für sein im Mai vorgestelltes “Vulnerabilities Barometer” untersuchten Programmen wiesen Adobes Flash Player, Google Chrome und Mozilla Firefox die meisten Schwachstellen auf (Grafik: Stormshield)
Redaktion

View Comments

  • Ich habe den Flash Player schon seit gut 1 Jahr von all meinen Browsern verbannt und ich vermisse absolut NICHTS. HTML5 ist definitiv besser. Dumm nur, daß einige Webseitenbetreiber/Webmaster dies immer noch nicht verstanden haben. Hoffentlich kapieren sie es jetzt endlich.

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Tag ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago