Menü
Security

Kommentar: Weg mit Flash!

Bei Adobes Plug-in stimmt die Balance aus Nutzen und Risiko nicht mehr. Es wird Zeit, dieses Relikt abzuschalten, meint Herbert Braun

Von
vorlesen Drucken Kommentare lesen 660 Beiträge
Flash-Recycling

Schleunigst updaten solle man Flash, so liest man zur Zeit überall, denn ständig tauchen neue Flash-Sicherheitslücken auf. Ich glaube vielmehr, es ist Zeit, Schluss zu machen mit Flash. Und dazu kann jeder einen Beitrag leisten.

Ein Kommentar von Herbert Braun

Herbert Braun ist Webentwickler und hat 2004 bei der c't angeheuert, wo er sich als Redakteur um Webtechniken, Browser und Online-Trends gekümmert hat. 2013 verließ er schweren Herzens (aber auf eigenen Wunsch) die Redaktion, um sich von Berlin aus als freier Autor und Webentwickler durchzuschlagen.

mehr anzeigen

Durch die Hacking-Team-Leaks folgen die Notfall-Updates so schnell aufeinander, dass man allmählich den Überblick verliert. Das wird sich wieder normalisieren, aber Flash bleibt ein riskantes Stück Software: 149 kritische Sicherheitslücken zählte das Bundesamt für Sicherheit in der Informationstechnik allein in den vergangenen zwölf Monaten.

Neu ist, dass Nutzen und Risiko für eine wachsende Zahl von Webnutzern in keinem Verhältnis mehr stehen. Die Zahl relevanter Flash-Inhalte schrumpft. Neue Browser-Spiele werden immer öfter mit freien Webtechniken geschrieben. Große Videoportale wie YouTube, Vimeo oder Dailymotion kommen mittlerweile ohne Flash aus.. HTML5 hat technisch aufgeholt und erobert sich dessen letzte Domänen – zu denen auch unpopuläre wie DRM zählen.

Richtig so: Firefox blockiert Flash. Aber besser wäre es, wenn Flash komplett verschwände.

Kein Wunder, dass das Web die Geduld mit Flash verliert. So stellte Mozilla am Montag kurzerhand Flash über die zentrale Blockliste auf "Click to Play", ohne Adobes Update abzuwarten; ähnlich ging Apple bei Mac OS vor.

Flash erinnert an den Internet Explorer 6: ein mächtiges Gespenst aus der Vergangenheit, das wir nicht mehr brauchen. Während allerdings Microsoft hart gekämpft hat, um dieses Gespenst des IE6 zu verscheuchen, mag sich Adobe von seiner einstigen Erfolgstechnologie noch nicht verabschieden – obwohl das Unternehmen natürlich längst weiß, dass Flash eine Leiche auf Urlaub ist, und deshalb seine Investitionen auf diesem Gebiet zurückgefahren hat.

"Es wird Zeit, dass Adobe das End-of-Life-Datum für Flash ankündigt", war kürzlich in einem populären Tweet zu lesen. Aufsehen erregte diese Äußerung vor allem wegen ihres Autors: Alex Stamos ist bei Facebook der oberste Verantwortliche für Sicherheit.

Ein "Geh sterben!" von so prominenter Quelle musste sich die Flash-Plattform zuletzt vor fünf Jahren von Steve Jobs anhören. Doch während das Herausdrängen von Flash aus dem Fundus der Webtechniken damals ein Zukunftsprojekt war, scheint es jetzt allmählich soweit zu sein. Inzwischen steht das gesamte Konzept der Browser-Plug-ins in der Schmuddelecke. Die Plug-in-Schnittstellen NPAPI und ActiveX liegen in den letzten Zügen, PPAPI läuft nur in Chromium und wird nur eine Zwischenlösung sein.

Als Steve Jobs bei der Präsentation des ersten iPad Seiten ansurfte, die statt der eingebundenen Flash-Inhalte nur Legostein-Symbole als Platzhalter zeigten, wirkte das wie eine Provokation. Mittlerweile sind fünf Jahre vergangen, und wir surfen immer noch (und immer mehr) ohne Flash auf Smartphone und Tablet herum. Haben Sie schon einmal gehört, dass es jemand vermisst hätte? Oh, es gibt eine Flash-Player-Version für Mobilgeräte namens Flash Lite, aber deren letzte Version stammt aus der Zeit des iPad 1.

Wer heute neue Webanwendungen mit Flash baut, schließt einen großen Teil der potenziellen Besucher aus. Es ist mir schleierhaft, warum manche immer noch auf dieses tote Pferd setzen. Hört auf damit!

Seit ein paar Wochen habe ich Flash von meinem Rechner verbannt. Tatsächlich tauchen hin und wieder Hinweise im Browser auf, ich möge doch für dieses gesponserte Video oder jenes lustige Filmchen Flash installieren. Inhalte, die mich interessiert haben, waren bisher keine darunter.

Es ist übrigens gar nicht so einfach, Flash wirklich loszuwerden. Eine Suche nach Dateinamen, die "flash" enthalten, kann für Überraschung sorgen. Auf meinem Laptop war die ActiveX-Version für den Internet Explorer vorinstalliert und lässt sich nicht ohne Gewaltmaßnahmen beseitigen. Chrome bringt sein Flash-Plug-in gleich selber mit, sieht aber leider keine Möglichkeit vor, dieses auch zu entfernen. Auch andere Software wie der Bildbetrachter IrfanView enthalten Flash.

Wer seinen Rechner entflashen möchte, sollte es zuerst mit dem vom jeweiligen System vorgesehenen Weg zur Software-Deinstallation versuchen. Adobe bietet zusätzlich ein Deinstallationsprogramm an. Klappt das nicht, bleibt nur das Deaktivieren im Browser. Bei Chrome und Co. geht das über die URL chrome://plugins, bei Firefox mit about:addons oder einfacher unter Extras und dann Add-ons; im Internet Explorer klicken Sie im Zahnradmenü auf "Add-Ons verwalten". Und wenn demnächst wieder eine Flash-Katastrophenwarnung Schlagzeilen macht, können Sie sich entspannt zurücklehnen.

[Update 17.7.2015 – 12:50 Uhr] Ursprünglich stand in dem Kommentar, Vimeo und Dailymotion würden noch Flash verlangen. Das ist nicht der Fall und wurde korrigiert.

[Update 20.7.2015 – 9:50 Uhr] Ursprünglich stand in dem Kommentar, dass der Screenreader NVDA Flash enthält. Das ist nicht richtig und wurde korrigiert.

(Herbert Braun) / (jo)