Nemrég a Facebook biztonsági vezetője esett neki a Flash-t fejlesztő Adobe-nak: a múlt hónapban egy Twitter-üzenet szólította fel a szoftvercéget, hogy jelölje ki a Flash életciklusának utolsó napját, és állapodjon meg a böngészők gyártóival, hogy azok úgynevezett killbitekkel még ugyanazon a napon végleg vonják ki a forgalomból a Flash-t. A közösségi oldal azóta már a befektetőknek szóló negyedéves tájékoztatójában is megemlítette a Flash-alapú alkalmazások biztonsági rizikóit, amelyek érdemi bevételi kockázatot jelentenek a vállalat számára.

Bármikor beüthet a következő incidens

Nem mai felfedezés, hogy az időről időre felbukkanó exploitok jelentős része a Flash technológiához kapcsolódik, és a legtöbben abban is megyegyeznek, hogy a böngészőkben alkalmazott sandboxing technikák legőbb feladata, hogy enyhítsék a Flash-alapú támadások vagy összeomlások hatásai. Miután a Hacking Team rendszereinek júliusi feltörése óta több nulladik napi Flash-sérülékenység is felbukkant, a Mozilla és a Google is a Flash Player korábbi verzióinak időleges blokkolása mellett döntött, felhasználói engedélyhez kötve a Flash automatikus futtatását a böngészőkben.

A Facebook múlt pénteken az amerikai szabályozóhoz eljuttatott bejelentésében már a bevételeit veszélyeztető tényezők között jelölte meg a Flash sérülékenységeit. A tőzsdei társaságként negyedévente kötelezően összeállított, a befektetők tájékoztatását célzó dokumentum szerint a hasonló ügyek a jövőben negatívan befolyásolhatják a Facebook fizetési szolgáltatásának forgalmát. Mivel ez utóbbi majdnem teljes egészében a Flash-alapú közösségi játékokra épül, a figyelmeztetés azzal együtt is az Adobe szoftveréről szól, hogy azt csak példaként említik a külső gyártótól való technológiai függőségre.

A beadvány a hatalmas mennyiségű adat tárolása, visszaküldése, feldolgozása vagy kezelése kapcsán emeli ki a harmadik féltől származó szoftverek előre nem látható hibáit, legyen szó sérülékenységekről vagy tervezési hibákról. Ez a Facebook szerint – tekintettel a rendszerek összetettségére – a szolgáltatások részleges vagy teljes kimaradását okozhatja, illetve mérési és számlázási hibákhoz, adatszivárgásokhoz vezethet. A vállalat ennek megfelelően arra figyelmeztet, hogy az olyan ügyek, mint a Flash blokkolása a népszerű böngészőkben, az anyagi veszteség mellett a felhasználók elvesztésével és a vállalat reputációjának sérülésével járhatnak.

Jobs ma is megírhatná az öt évvel ezelőtti levelét

A Facebook mindennek ellenére sem vet véget a Flash támogatásának, és erre a közeljövőben sem kell számítanunk. Az játékfejlesztők jelentős része ma is ezeken az alapokon dolgozik, és az elemzők szerint az iparágban sokan vannak, akik ragaszkodnak az Adobe platformjához. A Flash egyelőre a legelterjedtebb böngésző-pluginok között van, és ezen az sem változtat sokat, hogy a weboldalak mind nagyobb arányban támogatják az alternatív megoldásokat (HTML 5, JavaScript), sőt maga a Facebook is rendelkezik HTML-támogatással vagy mondjuk Unity SDK-val.

A tőzsdefelügyeleti bejelentés szóban forgó bekezdését sem a Facebook, sem az Adobe nem kommentálta, amivel valószínűleg nem vesztettünk semmit. Az mindenesetre biztos, hogy ez az első eset, amikor egy globális dotkom cég konkrét befektetői figyelmeztetést fogalmaz meg a Flash kockázataival kapcsolatban – leszámítva mondjuk az Apple-t, ahol annak idején Steve Jobs senkit sem figyelmeztetgetett, hanem 2010-ben egyszerűen kihajította a Flash-t a mobil Apple-eszközökről.

Az Apple akkor a készülékek fogyasztásának szembetűnő növekedésére, a szoftver mobil környezetben mutatott gyenge teljesítményére, a kritikán aluli biztoságra és az érintőképernyős felhasználás támogatásának hiányára hivatkozott, hozzátéve, hogy nincs kedve egy harmadik féltől származó szoftverréteget ékelni saját platformja és a fejlesztők közé. Jobs szerint már akkor sem volt szükség a Flash-re a webes videózáshoz vagy bármilyen multimédiás tartalom használatához.

Akkor a kritikusok az Apple érveit azonnal ízekre szedték, több tekintetben is képmutatással vádolva a vállalatot, az Adobe vezérigazgatója pedig egy hasonlóan csípő válaszlevélben reagált a kifogásokra. Bár az Apple viszonylag hamar enyhített a Flash teljes korlátozásán, az öt évvel ezelőtt felsorolt problémák némelyike máig napirenden van, mint az kiderül a Facebook néhány napja közzétett figyelmeztetéséből is.

A Flash-től nem lesz egyszerű megszabadulni

A Flash eltüntetése persze több okból sem életszerű, így a közösségi oldal befektetői még jó ideig kénytelenek lesznek beérni a figyelmeztetésekkel. A műtéthez egy valószerűtlenül széles körű iparági összefogásra lenne szükség, ráadásul a "nyílt web" eszményének megvalósításához sokkal több kellene a Flash kihipózásánál. Ha el is fogadjuk, hogy a közösségi szolgáltatások esetében a Flash már pénzügyi kockázatokat jelent, akkor mi a helyzet mondjuk a Java-alapú alkalazásokkal?

A legfontosabb szempont azonban az, hogy a szoftverszolgáltatások és mobil alkalmazások felfutásának kellős közepén senki sem kívánja összerúgni a port a fejlesztői közösség egy jól behatárolható részével – a Flash tehát még jó ideig velünk marad, és a Bitportnál is könnyebb dolgunk lesz, hogy a nyári pangásban friss exploitokról szóló hírekkel töltsük meg IT-biztonsági tovatunkat.