Categories: BrowserWorkspace

Google Chrome spielt ab September keine versteckten Flash-Inhalte mehr ab

Google hat jetzt den nächsten Schritt zur Verbannung von Flash aus dem Web angekündigt: Mit dem für September geplanten Chrome 53 sollen standardmäßig keinerlei versteckte Flash-Inhalte mehr angezeigt werden. Mit der Ankündigung steht nun offiziell fest, was bereits im Mai inoffiziell durchgesickert war.

Damit setzt Google dann im nächsten Monat etwas um, was Mozilla für Firefox bereits diesen Monat und Microsoft mit seinem neuen Browser Edge im Zuge des Anniversary Update getan haben. Bereits jetzt können Anwender bei Firefox und Chrome Plug-ins wie Flash, PDF, Java oder Silverlight so einstellen, dass Inhalte damit erst nach Zustimmung abgespielt werden.

Diese als “Click-to-play” bezeichnete Funktion soll laut Mozilla bei Firefox dann 2017 “für jedwede Art von Inhalten” erforderlich werden, bevor Webseiten das Flash-Plug-in aktivieren. Bei Chrome soll die Funktion ab Dezember mit Chrome 55 standardmäßig für alle Flash-Inhalte aktiviert sein. Der Google-Browser wird dann nur noch Webseiten, die ausschließlich aus Flash-Inhalten bestehen, mit dem Plug-in anzeigen, aber auch das nur noch nachdem Nutzer zuvor in einer Dialogbox ihre Zustimmung gegeben haben.

Laut Google-Mitarbeiter Anthony LaForge, der für Flash in Chrome zuständig ist, werden heute rund 90 Prozent der Flash-Inhalte im Web im Hintergrund geladen und von Diensten wie Analysewerkzeugen genutzt. Sie hätten daher für den Besucher der Website keinen Nutzen und würden lediglich dafür sorgen, dass die Seite langsamer lädt. Diese Inhalte sollen nun mit Chrome 53 geblockt werden. Bereits im September vergangenen Jahres wurde mit Chrome 42 die Standardeinstellung für viele Flash-Inhalte, die für die Webseite als solche nicht als wesentlich eingestuft wurden, auf Click-to-play gesetzt.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als “kritisch” eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).

Die Browser-Plug-ins für den Adobe Flash-Player sorgen nicht nur häufig für Abstürze, sondern sind wegen ihrer großen Verbreitung und hohen Anfälligkeit für Sicherheitslücken auch ein beliebtes Ziel von Hackern. Nicht zuletzt deshalb sind Alternativen stark auf dem Vormarsch. Vielbesuchte Webseiten wie YouTube und Facebook setzen zum Beispiel zum Abspielen von Videos schon seit vergangenen Jahr auf HTML5.

Bei den nicht sichtbaren Flash-Inhalten handelt es sich im Wesentlichen um Flash-Inhalte, die kleiner als 5 mal 5 Pixel sind und die Flash-APIs enumerateFonts und ExternalInterface aufrufen. Sie erhalten so eine Liste aller auf dem Rechner installierten Schriftarten. Da diese Liste sehr individuell ist und – bei Bedarf zusammen mit einigen anderen Merkmalen – zur eindeutigen Identifikation genutzt werden kann, wird sie für das sogenannte Fingerprinting verwendet. Dies ermöglicht die Identifikation eines Nutzers für Werbezwecke ohne dessen Zutun und selbst dann, wenn er keine Cookies zulässt. Zu diesen Inhalten gehören auch die sogenannte “Supercookies”, in der Regel Shockwave-Inhalte kleiner als 5 mal 5 Pixel, die die Flash-API SharedObject aufrufen und den String “Cookie” enthalten. Auch sie werden künftig nicht mehr abgespielt.

Von den vom Security-Anbieter Stormshield für sein im Mai vorgestelltes “Vulnerabilities Barometer” untersuchten Programmen wiesen Adobes Flash Player, Google Chrome und Mozilla Firefox die meisten Schwachstellen auf (Grafik: Stormshield)
Redaktion

View Comments

  • Ich habe den Flash Player schon seit gut 1 Jahr von all meinen Browsern verbannt und ich vermisse absolut NICHTS. HTML5 ist definitiv besser. Dumm nur, daß einige Webseitenbetreiber/Webmaster dies immer noch nicht verstanden haben. Hoffentlich kapieren sie es jetzt endlich.

Recent Posts

Cloud-Ressourcen sind Hauptziel von Cyber-Angriffen

52 Prozent der Unternehmen Deutschland haben bereits eine Verletzung der Datensicherheit in der Cloud erlebt.

4 Stunden ago

Transport Betz automatisiert Geschäftsprozesse

Rückgrat des Digitalisierungsprogramms ist das ERP-System GUS-OS Suite, das der Logistikdienstleister seit 15 Jahren im…

21 Stunden ago

Cyberversicherung auf dem Weg zum Standard

Studie: Mehr als die Hälfte der DACH-Unternehmen haben mittlerweile eine Police. Gesamtosten rund um Cyberversicherungen…

1 Tag ago

Komplexität reduzieren und mit vorhandenen Ressourcen sicherer werden

"Unternehmen sollten Security-Investitionen neu bewerten, entscheiden, wo sie konsolidieren können und mit ähnlichem Geld sich…

5 Tagen ago

Chemiekonzern Kemira archiviert seine SAP-Daten und Dokumente in der Cloud

Kemira hat sich von langjähriger Archivierungslösung getrennt und vertraut nun der Archivierung in der Cloud…

6 Tagen ago

Use-Case: KI-Integration im deutschen Mittelstand

Auch im deutschen Mittelstand setzen mehr und mehr Unternehmen auf den Einsatz von künstlicher Intelligenz.…

1 Woche ago