Edge ponekod poganja Flash brez odobritve uporabnikov
Matej Huš
21. feb 2019 ob 23:26:51
Že več let se pripravljamo na smrt starih vtičnikov NPAPI, kamor seveda sodi tudi Flash. Čeprav ima Flash nekoliko posebno obravnavo in pogosto predstavlja izjemo, ki jo brskalniki vendarle dovoljujejo, se bliža tudi njegov konec. Ni pa takšnega mnenja Microsoft, ki je v svoj novi brskalnik Edge vgradil poseben seznam strani (whitelist), ki jim v nasprotju z uporabnikovimi nastavitvami dovoljuje poganjati Flash. Med njimi je tudi Facebook.
Že od leta 2017 je Flash v Edgeu privzeto izklopljen, uporabnik pa mora poganjanje izrecno potrditi za vsako stran posebej. Toda, do februarja letos je seznam izvzetih strani vseboval 58 vnosov (domen in poddomen), med katerimi so bili na primer Microsoftova stran, Yahoo, Deezer in Facebook, pa tudi španski frizer Dgestilistas. Na nekaterih izmed teh strani so bile tudi varnostne ranljivosti, ki bi jih zlikovci lahko izrabili za napad. Na teh je brskalnik izvajal Flash brez običajnih varnostnih mehanizmov, ki je ročna odobritev. Po novembrskem odkritju, za katerega je zaslužen Ivan Fratrić iz Googlovega Projecta Zero, je Microsoft šele sedaj izdal popravek. V tem popravku je odpravil nekaj varnostnih ranljivosti, ki jih je odkril Fratrić, in skrčil seznam z 58 domen na - vsega dve. Na seznamu je ostal https://www.facebook.com in https://apps.facebook.com, domnevno zaradi starejših iger v Flashu, ki so na voljo na Facebooku. Na vseh ostalih straneh velja običajni režim, to pomeni obvezna ročna aktivacija Flasha.
Microsoft se je odzval s suhim pojasnilom, da se obdobje podpore za Flash nezadržno bliža koncu, februarske spremembe pa so bile naslednji korak k temu končnemu cilju.