Categories: BrowserWorkspace

Google Chrome: versteckte Flash-Inhalte werden ab September nicht mehr abgespielt

Mit dem für September geplanten Chrome 53 sollen standardmäßig keinerlei versteckte Flash-Inhalte mehr angezeigt werden, wie Google jetzt in einem Blogeintrag angekündigt hat. Damit steht nun auch offiziell fest, was bereits im Mai inoffiziell durchgesickert war.

Google setzt damit im September um, was Mozilla für Firefox bereits diesen Monat und Microsoft mit seinem neuen Browser Edge im Zuge des Anniversary Update getan haben. Bei Firefox und Chrome können Nutzer bereits jetzt Plug-ins wie Flash, PDF, Java oder Silverlight so einstellen, dass Inhalte damit erst nach Zustimmung abgespielt werden.

Laut Mozilla soll diese als „Click-to-play“ bezeichnete Funktion bei Firefox dann 2017 „für jedwede Art von Inhalten“ erforderlich werden, bevor Webseiten das Flash-Plug-in aktivieren. Ab Dezember soll die Funktion bei Chrome mit Chrome 55 standardmäßig für alle Flash-Inhalte aktiviert sein. Der Google-Browser wird dann nur noch Webseiten, die ausschließlich aus Flash-Inhalten bestehen, mit dem Plug-in anzeigen, aber auch das nur noch nachdem Nutzer zuvor in einer Dialogbox ihre Zustimmung gegeben haben.

Heute werden rund 90 Prozent der Flash-Inhalte im Web im Hintergrund geladen und von Diensten wie Analysewerkzeugen genutzt, so Google-Mitarbeiter Anthony LaForge, der für Flash in Chrome zuständig ist. Sie hätten daher für den Besucher der Website keinen Nutzen und würden lediglich dafür sorgen, dass die Seite langsamer lädt. Diese Inhalte sollen nun mit Chrome 53 geblockt werden.

Mit Chrome 42 wurde bereits im September vergangenen Jahres die Standardeinstellung für viele Flash-Inhalte, die für die Webseite als solche nicht als wesentlich eingestuft wurden, auf Click-to-play gesetzt.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als „kritisch“ eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).

Die Browser-Plug-ins für den Adobe Flash-Player sorgen nicht nur häufig für Abstürze, sondern sind wegen ihrer großen Verbreitung und hohen Anfälligkeit für Sicherheitslücken auch ein beliebtes Ziel von Angreifern. Alternativen sind nicht zuletzt deshalb stark auf dem Vormarsch. Viel besuchte Webseiten wie YouTube und Facebook setzen zum Beispiel zum Abspielen von Videos schon seit vergangenen Jahr auf HTML5.

Bei den Flash-Inhalten, die nicht sichtbar sind, handelt es sich vor allem um Flash-Inhalte, die kleiner als 5 mal 5 Pixel sind und die Flash-APIs enumerateFonts und ExternalInterface aufrufen. Sie erhalten so eine Liste aller auf dem Rechner installierten Schriftarten. Da diese Liste sehr individuell ist und – bei Bedarf zusammen mit einigen anderen Merkmalen – zur eindeutigen Identifikation genutzt werden kann, wird sie für das sogenannte Fingerprinting verwendet. Dies macht die Identifikation eines Nutzers für Werbezwecke ohne dessen Zutun möglich und selbst dann, wenn er keine Cookies zulässt. Zu diesen Inhalten zählen auch die sogenannte „Supercookies“, in der Regel Shockwave-Inhalte kleiner als 5 mal 5 Pixel, die die Flash-API SharedObject aufrufen und den String „Cookie“ enthalten. Auch sie werden künftig nicht mehr abgespielt.

Von den vom Security-Anbieter Stormshield für sein im Mai vorgestelltes “Vulnerabilities Barometer” untersuchten Programmen wiesen Adobes Flash Player, Google Chrome und Mozilla Firefox die meisten Schwachstellen auf (Grafik: Stormshield).

[Mit Material von Peter Marwan, silicon.de]

Anja Schmoll-Trautmann @Anja_NME

Anja Schmoll-Trautmann berichtet über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Sie arbeitet mit Windows in allen Varianten, OS X, iOS und Android.

Recent Posts

Schnäppchen: Xiaomi Mi 10 für 662 Euro

Gegenüber dem offiziellen Verkaufspreis bietet der chinesische Online-Shop Gearbest das Mi 10 fast 140 Euro günstiger an. Leider gilt das…

8 Stunden ago

Xiaomi spendet 120.000 Atemschutzmasken

Das Deutsche Rote Kreuz nimmt die Lieferungen in Empfang und übernimmt die Verteilung in Abstimmung mit den lokalen Behörden. Weitere…

11 Stunden ago

Factsheet zur Einrichtung von Kurzarbeitergeld (Kug) in SAP HCM

SAP Full-Service-Provider Nexus / Enterprise Solutions erweitert angesichts von Corona Support und Kundenbetreuung – Neues Factsheet zu Kurzarbeitergeld und SAP…

12 Stunden ago

Windows 10: KB4535996 sorgt für Probleme bei VPN-Verbindungen

Betroffen sind sämtliche Windows-Versionen, die seit Herbst 2017 erschienen sind. Ein Neustart soll das Problem temprorär beheben. Anfang April will…

12 Stunden ago

Galaxy S7 und Galaxy S7 Edge: März-Patch wird ausgeliefert

Das Update steht für die freien Geräte parat. Vor knapp zwei Monaten hatte Samsung die Provider-Modelle mit dem Januar-Sicherheitspatch versorgt.

14 Stunden ago

Microsoft: Nutzung der Clouddienste steigt um 775 Prozent

In den Regionen mit Ausgangsbeschränkungen steigt die Nutzund der Cloudienste erheblich. Vor allem Teams, Windows Virtual Desktop und Power BI…

16 Stunden ago