Categories: BrowserWorkspace

Google Chrome spielt ab September keine versteckten Flash-Inhalte mehr ab

Google hat jetzt den nächsten Schritt zur Verbannung von Flash aus dem Web angekündigt: Mit dem für September geplanten Chrome 53 sollen standardmäßig keinerlei versteckte Flash-Inhalte mehr angezeigt werden. Mit der Ankündigung steht nun offiziell fest, was bereits im Mai inoffiziell durchgesickert war.

Damit setzt Google dann im nächsten Monat etwas um, was Mozilla für Firefox bereits diesen Monat und Microsoft mit seinem neuen Browser Edge im Zuge des Anniversary Update getan haben. Bereits jetzt können Anwender bei Firefox und Chrome Plug-ins wie Flash, PDF, Java oder Silverlight so einstellen, dass Inhalte damit erst nach Zustimmung abgespielt werden.

Diese als “Click-to-play” bezeichnete Funktion soll laut Mozilla bei Firefox dann 2017 “für jedwede Art von Inhalten” erforderlich werden, bevor Webseiten das Flash-Plug-in aktivieren. Bei Chrome soll die Funktion ab Dezember mit Chrome 55 standardmäßig für alle Flash-Inhalte aktiviert sein. Der Google-Browser wird dann nur noch Webseiten, die ausschließlich aus Flash-Inhalten bestehen, mit dem Plug-in anzeigen, aber auch das nur noch nachdem Nutzer zuvor in einer Dialogbox ihre Zustimmung gegeben haben.

Laut Google-Mitarbeiter Anthony LaForge, der für Flash in Chrome zuständig ist, werden heute rund 90 Prozent der Flash-Inhalte im Web im Hintergrund geladen und von Diensten wie Analysewerkzeugen genutzt. Sie hätten daher für den Besucher der Website keinen Nutzen und würden lediglich dafür sorgen, dass die Seite langsamer lädt. Diese Inhalte sollen nun mit Chrome 53 geblockt werden. Bereits im September vergangenen Jahres wurde mit Chrome 42 die Standardeinstellung für viele Flash-Inhalte, die für die Webseite als solche nicht als wesentlich eingestuft wurden, auf Click-to-play gesetzt.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als “kritisch” eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).

Die Browser-Plug-ins für den Adobe Flash-Player sorgen nicht nur häufig für Abstürze, sondern sind wegen ihrer großen Verbreitung und hohen Anfälligkeit für Sicherheitslücken auch ein beliebtes Ziel von Hackern. Nicht zuletzt deshalb sind Alternativen stark auf dem Vormarsch. Vielbesuchte Webseiten wie YouTube und Facebook setzen zum Beispiel zum Abspielen von Videos schon seit vergangenen Jahr auf HTML5.

Bei den nicht sichtbaren Flash-Inhalten handelt es sich im Wesentlichen um Flash-Inhalte, die kleiner als 5 mal 5 Pixel sind und die Flash-APIs enumerateFonts und ExternalInterface aufrufen. Sie erhalten so eine Liste aller auf dem Rechner installierten Schriftarten. Da diese Liste sehr individuell ist und – bei Bedarf zusammen mit einigen anderen Merkmalen – zur eindeutigen Identifikation genutzt werden kann, wird sie für das sogenannte Fingerprinting verwendet. Dies ermöglicht die Identifikation eines Nutzers für Werbezwecke ohne dessen Zutun und selbst dann, wenn er keine Cookies zulässt. Zu diesen Inhalten gehören auch die sogenannte “Supercookies”, in der Regel Shockwave-Inhalte kleiner als 5 mal 5 Pixel, die die Flash-API SharedObject aufrufen und den String “Cookie” enthalten. Auch sie werden künftig nicht mehr abgespielt.

Von den vom Security-Anbieter Stormshield für sein im Mai vorgestelltes “Vulnerabilities Barometer” untersuchten Programmen wiesen Adobes Flash Player, Google Chrome und Mozilla Firefox die meisten Schwachstellen auf (Grafik: Stormshield)
Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

View Comments

  • Ich habe den Flash Player schon seit gut 1 Jahr von all meinen Browsern verbannt und ich vermisse absolut NICHTS. HTML5 ist definitiv besser. Dumm nur, daß einige Webseitenbetreiber/Webmaster dies immer noch nicht verstanden haben. Hoffentlich kapieren sie es jetzt endlich.

Recent Posts

Hybrides Arbeiten – Die größten Fehler bei der Rückkehr ins Büro

Unternehmen riskieren, Mitarbeiter wegen schlechter Anwendererfahrungen zu verlieren, warnt Gastautor Roman Pelzel von ISG.

41 Minuten ago

Bumblebee: Cybererpresser setzen auf neue Malware zur Verbreitung von Ransomware

Symantec bringt den Loader Bumblebee in Verbindung mit den Ransomware-Gruppen Conti, Mountlocker und Quantum. Die…

3 Stunden ago

Markt für Microsoft-Partner flaut ab

ISG-Studie: Wettbewerb verschärft sich unter anderem, da Microsoft große und strategisch wichtige Kunden zunehmend direkt…

18 Stunden ago

ZuoRAT: Neue mehrstufige Malware greift SOHO-Router in Europa an

Die Malware ist bereits seit 2020 im Umlauf. Die Hintermänner setzten ZuoRAT nur für zielgerichtete…

22 Stunden ago

Firefox 102: Mozilla schließt 21 Sicherheitslücken

Für mehr Sicherheit sorgt auch ein strikteres Sandboxing des Audio-Decoding. Die Entwickler verbessern zudem den…

1 Tag ago

Arm stellt zweite Generation der Armv9-CPUs vor

Die überarbeiteten Kerne Cortex-X3 und Cortex-A715 steigern die Peak Performance um bis zu 25 Prozent.…

1 Tag ago