Adobe 将于 2020 年停止支持 Flash

Adobe 近日宣布，将于 2020 年停止开发和分发 Flash 浏览器插件，并建议内容创建者将 Flash 内容移植为 HTML5、WebGL 和 WebAssembly 格式。

Flash 已经问世二十年了，人们用它来开发游戏、看视频，随着 Adob​​e 官方宣布退出历史舞台，备受争议的 Flash 也逐渐退出历史舞台，它的一生是否真如公众所说的那样“孽缘”呢？

我们首先来简单回顾一下Flash的历程。

低带宽时代

90年代的时候，由于网速有限，大部分网站基本都是纯文字和简单的图片，基本不能展示太多的图片和视频，当时主流的多媒体制作软件是Macromedia Director，人们可以用它制作制作了一些图片和视频，是现在的Adobe Director的前身，它通过Macromedia Shockwave（现在的Adobe Shockware）发布到互联网上，人们可以在装有Shockwave的浏览器上浏览这些多媒体信息。

由于带宽限制，人们对使用图像非常谨慎。这使得 Shockwave 文件更小，但生成的图像却很平庸。当时使用的格式是 GIF 和 JPEG，这浪费了大量空间。大量的存储空间。

此时，FutureWave 出品的 FutureSplash Animator 出现了。它与 Macromedia Director 非常相似，但其图像是基于矢量存储的。这些格式可扩展性很强，分辨率高，而且占用的存储空间很少。这是因为一代矢量图形的绘制都可以由CPU来完成，而且当时的网速很慢，而CPU的处理速度越来越快，所以这个真的很智能。

快速扩张

后来，FutureWave 试图出售给 Adob​​e，但遭到拒绝，最终 Macromedia 收购了该公司。FutureSplash Animator 更名为 Macromedia Flash 1.0。它由两部分组成：图形和动画编辑器以及媒体播放器。

随着网速的提升，人们开始使用Flash播放视频。Flash发展的黄金时代是1999年到2005年。无论是Java、RealNetworks、QuickTime，还是Windows Media Player，所有媒体播放器都被大量安装。远远不如它。

Macromedia对于Flash服务的重视和持续的投入改进进一步促进了它的成长，而后来MovieClips的加入也让它从媒体创作平台转型为网络平台。

2005年，Adobe收购Macromedia后，继续开发Flash，业务开始覆盖电影、音乐、游戏等多个领域，很多电脑都预装了Flash，还增加了在线下载播放功能。让用户在下载完成后即可观看，Flash已逐渐成为边下载边播放视频的“行业标准”。

90 年代，大部分浏览器都不支持 CSS，Flash 的出现，让人们可以在浏览器上播放动画，火柴人、三国志、天佑吾等无数视频在老一辈人中非常受欢迎。对于网民来说，留下了无数回忆，超高电压比格式、矢量图形、同时下载播放、节省带宽的格式也给人留下了深刻的印象，那时候人们可以下载视频，而不用担心代码实现。您可以使用 Flash 制作一些很酷的动画。

进入21世纪，Flash的flv容器以及vp6、vp7视频压缩算法开始出现，边下载边播放的用户体验越来越好。

2008年，Flash9还在alpha阶段的时候，就开始支持as3，大大提升了运行效率，后来正式发布的时候叫Flash cs 3，Flash借着网页游戏的火爆，又一次繁荣起来大量的公司开始利用Flash开发交互效果极其华丽的网页游戏，并且都通过产品获得了不错的收益。

从事Flash、HTML相关工作15年的开发者马建认为：

首先，在Flash鼎盛时期，根据Adobe官方统计，全球有近200万Flash开发者，这个群体不同于其他语言的开发者，可以说是一个独特的开发者群体。可以理解他们 他们是真正的“全栈”工程师，可以开发游戏、制作动画、创建富媒体应用程序，甚至其中许多人还学过美术、烹饪和刺绣。自 2010 年 Flash 开始衰落以来，这些 Flash 开发人员他们后来逐渐转型成为众多应用和游戏公司的中坚力量，包括市场上大量的 Unity、Cocos 手游开发者、Egret Engine 社区近一半的 HTML5 开发者，甚至大量的 AngularJS 和JQueryMobile 开发人员。全部来自原 Flash 社区。

其次，Flash开发生态为HTML5标准的演进带来了不少宝贵的模板，Adobe通过Flash Professional工具开放了JSFL扩展，支持JQuery Mobile、WebGL的输出，甚至矢量绘制动画也支持CreateJS .出口；Adobe 将全球最受欢迎的骨骼动画项目之一 DragonBones 转让给 Egret，继续开发原生和 HTML5 版本；Flex 项目主力程序员成为 Google AngularJS 的作者；曾经的流行的Flash游戏框架Flixel后来参与创建了HTML5游戏框架Phaser。Adobe向Mozilla组织捐赠的AVM2虚拟机源代码间接推动了IonMonkey和SpiderMonkey项目中GC的替换以及Java的流行。 Flash-to-HTML5项目Shumway。Adobe的ActionScript 3.0的语法是Egret Engine团队借鉴了HTML5的引擎产品设计； Stage3D项目随后促成了Away3D、Minko等原有Flash3D项目完美转型进入HTML5技术领域，也有不少HTML5相关的视音频项目与Flash相关媒体库进行整合，为HTML5提供更多的功能支持。这几年，HTML5视频播放器的出现，让Flash技术在HTML5领域得到了长足的发展。如今，大量的HTML5视频播放器都是从原有的Flash领域转型而来的。这一切都是Flash技术给现在的HTML5领域带来的财富。

Flash的前半生无疑是洒脱的。

逐渐淡出，没有赶上移动浪潮

业界现在普遍认为，Flash的没落是从与苹果分手开始的，尤其是乔布斯在2010年写了一篇题为《对Flash的思考》的文章，在文中表达了他对Flash的看法，解释了为什么他不使用Flash ，并谈到了Flash的一些问题，如开放性、安全性、对设备电池寿命的影响、不利于触摸屏等。

结尾很值得我们深思：

我们从痛苦的经历中知道，让第三方软件介入平台和开发者之间最终会导致应用程序质量低下，阻碍平台的增强和进步。如果开发者越来越依赖第三方开发库和工具，他们只有第三方选择采用新功能时，我们才能利用平台增强功能。我们不能任由第三方决定是否以及何时将我们的增强功能提供给我们的开发人员。

苹果作为从一开始就是平台的绝对控制者，确立了App Store等封闭体系策略，Flash作为第三方插件，很难进入苹果自身平台争夺利润。

马建说：

现实是很多人没有看到这一点，他们看到的是，当苹果宣布iOS不再支持Flash技术时，一大批所谓的“专家”和“专业媒体”把Flash当成了HTML5的头号敌人制造话题，获得更多业界关注。其实他们并不关心Flash和HTML5真正给Web领域带来了什么，也不关心谁胜谁负。他们唯一在乎的是自己的知名度和交通。

2007年，第一代iPhone正式发布，2008年，Android手机出现，拉开了移动互联网的大幕，然而Flash却渐渐跟不上潮流，失去了这块宝贵的市场。

频繁的安全问题

随着时间的推移，Flash 开始衰落，替代解决方案出现，Flash 越来越频繁地出现在广告甚至恶意软件中。

烦人的浏览器弹窗，无休止的推销广告，Flash的名声正在渐渐消退，虽然Flash的开发者会留意这些恶意内容，但是广告都是由不受监管的第三方提供的，Flash渐渐成为了一个安全隐患。

由于Flash运行在浏览器之外，操作系统和浏览器的安全机制对Flash的限制就少得多，这一特点很容易使Flash成为黑客们青睐的工具。

我们先来看一下Flash近几年暴露出来的漏洞。

从图中我们可以看出2015年和2016年几乎是Flash的高危年份，CVE记录的漏洞总数分别为329个和266个。

从攻击方式上看，黑客最喜欢通过代码执行进行攻击，共有819个漏洞；其次是堆栈溢出攻击，共有435个漏洞；之后是DoS和内存破坏攻击，分别有346个和348个漏洞。

从上图可以看出，Flash漏洞最早出现于2005年，而后经过了近9年的时间，才在2014年、2015年开始大规模爆发，这在当时确实给互联网带来了不小的危害。影响。

以下是一些最令人印象深刻的袭击的回顾：

网站木马

2009年8月6日消息，上月底曝光的Flash漏洞正成为网页“挂马”攻击的主流目标。在360网页防火墙8月6日拦截的网页“挂马”攻击中， Flash漏洞攻击拦截率达到29.4%，超过了对网民危害最大的微软MPEG-2视频漏洞和Office内存损坏漏洞。

当时，北大网、中国网等多家知名网站均已遭黑客攻击，利用Flash漏洞向访问者传播木马。

CVE-2012-0779

2012年，国外实验室发布了一个名为CVE-2012-0779的视频，展示了Adobe Flash Player对象类型混淆远程代码执行漏洞（CVE-2012-0779）。Adobe Flash Player在实现上存在对象混淆漏洞。打开电子邮件中的恶意文件，攻击者可以利用此漏洞导致应用程序崩溃并执行任意代码。

CVE-2012-1535

2012 年，Windows 和 Mac OS X 上 11.3.300.271 之前的 Adob​​e Flash Player 版本以及 Linux 上 11.2.202.238 之前的 Adob​​e Flash Player 在其实现中存在未指定的漏洞，可能允许远程攻击者执行任意代码或导致拒绝通过 SWF 内容提供服务。提供服务。

CVE-2013-0634

2013年，该病毒由CVE-2013-0634漏洞触发，利用Adobe Flash Player ActionScript 3.0的正则表达式处理中的溢出来执行恶意代码。

该病毒从2012年6月份开始传播，从2013年2月7日Adobe发布漏洞补丁至今，已过去半年多，可见该木马通过高危漏洞传播，以及在新浪博客等平台传播的方式，很简单利用QQ空间、微博等作为发布加密木马服务器URL的方式。

CVE-2014-0497

2014年春节期间，Adobe Flash播放器被曝出一个0Day漏洞（编号：CVE​​-2014-0497），该漏洞影响Flash 12.0.0.38及之前版本，Adobe官方已经发布补丁修复该漏洞。

该漏洞是由于 SWF 中嵌入的 AS3 代码的解析错误造成的。

CVE-2014-8440

2014年，Flash播放器存在高危远程代码执行漏洞，目前正被攻击者利用进行大规模攻击，Adobe已紧急发布计划外安全更新。

据安全厂商 F-Secure 称，自 10 月 14 日 Flash 发布补丁后，黑客利用 Windows、Mac 和 Linux 系统上的高危 Flash 播放器漏洞（CVE 2014-8439）加强攻击。不久之后，法国研究员 Kafeine 在核恶意软件中发现了最新的 Flash 播放器漏洞利用。该 Flash 漏洞正被用于大规模攻击。

由于 Flash 在处理内存指针的过程中存在漏洞，攻击者可以利用此漏洞在受害者的机器上执行任意代码。攻击者可以精心制作一个 Flash 文件，当受害者用户查看 Flash 时，恶意代码可以控制目标系统。

Adobe 已将该漏​​洞评定为高严重性。

CVE-2015-0310

Adobe 于 2015 年发布了适用于 Windows、Macintosh 和 Linux 的 Adob​​e Flash Player 的安全更新。这些更新修复了可能允许绕过 Windows 平台上的内存随机化缓解措施的漏洞。

Adobe 收到有关广泛存在的漏洞 CVE-2015-0310 的报告，该漏洞正被用于攻击旧版本的 Flash Player。

CVE-2015-0311

2015年，Adobe发布了针对高危漏洞的补丁，修复了编号为CVE-2015-0310的安全漏洞。然而危机发生前，Adobe又对Flash Player软件进行了一次更新，更新的目的是修复一个严重的0day漏洞编号为CVE-2015-0311。该漏洞由知名安全研究员Kafeine提交。

该漏洞正被攻击者广泛利用，对大多数 Windows 系统发起驱动下载攻击。该漏洞已被该公司标记为高风险，这意味着攻击者可以执行恶意代码，甚至无需用户许可即可完成此操作知识。

该漏洞是 Flash 中长期未公开的漏洞，允许攻击者远程控制 PC；Windows、OS X 和 Linux 的 Flash 版本都包含此漏洞。

CVE-2015-0313

第三个严重的Flash 0day漏洞出现在2015年，该漏洞影响Windows、Linux、Mac系统上的Adobe Flash Player 16.0.0.296及之前所有版本，可允许攻击者控制目标系统。

这是几周内 Adob​​e 用户第三次面临零日漏洞的安全威胁，该漏洞影响 Windows、Linux 和 Mac OS X 上的 Flash 软件。

2015年初，Adobe Flash出现多个0day漏洞，在漏洞修复前就被大规模利用。近日，趋势科技安全研究人员在对Adobe 0day漏洞进行跟踪调查时，发现了BEDEP系列病毒。与 Adob​​e Flash 0day 漏洞相关。

最糟糕的两年

2015年和2016年暴露的漏洞数量加起来，基本上占据了历史上Flash漏洞的绝大部分。

RecordedFuture 开展的一项新研究显示，Flash Player 因其漏洞继续使世界各地的计算机面临风险，网络犯罪分子仍在寻找 Adob​​e 解决方案中的安全漏洞来入侵计算机。排名前 10 的漏洞中共有 6 个在Adobe Flash Player中，其中一个安全漏洞被7个以上的漏洞利用工具包所利用。

在微软安全情报报告第 20 卷中，Flash 仍然是网络攻击最常针对的对象。Adobe Flash 在所有检测到的恶意网页中占 90% 并不令人意外。Flash 的潜在危险早已广为人知。微软再次强调定期更新 Adob​​e Flash Player 的重要性。

安全机构NTT集团发布的最新报告显示，2015年漏洞攻击者最喜欢的目标不再是Java，而是Adobe Flash Player，其垄断了最危险、被利用频率最高的十大漏洞。

随着光环的褪去，人们开始不喜欢Flash，它开始走向消亡但还不算僵硬。

失去个人电脑市场

Flash 在移动设备上的弱势并不是它唯一的问题。在 PC 端，Flash 也遇到了大麻烦。2015 年，谷歌旗下的 YouTube 开始将所有视频格式转换为 HTML5，甚至推出了一款名为 Swiffy 的工具，可以将 Flash 转换为 HTML5 。

而且谷歌的Chrome已经占据了浏览器市场的很大份额，不过Chrome已经逐渐将Flash支持作为非默认选项，用户一般不会主动开启Flash，只有遇到需要Flash的网站才会开启，Chrome会提醒用户是否需要开启。

同样占有一定市场份额的Firefox、Safari等浏览器也开始站到Flash的对立面，PC端和移动端的双重弱势加速了Flash的消亡。

HTML5官方标准的出现

真正的致命一击来自于最新一代网页标准HTML5，用户无需安装额外插件，就能观看视频、玩游戏，因为几乎所有主流浏览器都支持新的HTML5标准。

HTML5 作为一个 Web 标准，本身不需要使用额外的插件，也不需要考虑设备性能的影响，一直保持着，并且会根据未来的发展增加更多相应的功能。 HTML5开始流行。

现状与结论

Flash 似乎已经没有任何用处了，但是现在（2017 年 8 月）它的性能和使用情况如何？

由于Flash目前主要还是应用于视频播放方面，因此笔者对国内主流视频网站对Flash的支持情况进行了测试：

测试结果显示，一线视频网站（爱奇艺、腾讯视频、哔哩哔哩、优酷、凤凰视频、乐视视频）由于业务要求高、技术积累强，已经基本抛弃Flash，转型为html5。

其余部分视频网站（搜狐视频、酷6网、迅雷看看、新浪视频、百度视频、暴风视频、央视网、56网、土豆网、斗鱼、PPTV巨幕）还不支持HTML5，仍在使用Flash。

最重要的因素可能还是成本的考虑。Flash 可以使用 P2P 技术，这可以为视频网站节省大量流量，但仍然是一笔不小的开支。与 Flash 相比，HTML5 标签很容易被窥探。视频也更容易下载；广告方面，HTML5格式的广告更容易嵌入，但也更容易被屏蔽。防屏蔽技术肯定有技术的大公司可以解决。对于厂商来说，失去这么大的广告量收入并承担尝试新技术的风险，回报并不那么可观，而且还必须为新技术分配预算，所以每个人都显得不太情愿。

关于Flash的现状，最近在GitHub论坛上出现了一篇针对Flash的请愿书：

Adobe 宣布将于 2020 年停止支持 Flash。很快，GitHub 上就出现了一份请愿书，要求 Adob​​e 将 Flash 开源。芬兰开发者 Juha Lindstedt 在请愿书中提到：Flash 是互联网历史的重要组成部分。淘汰 Flash Flash 意味着下一代将无法看到过去。因此，许多游戏、体验和网站将被遗忘；所以请要求 Adob​​e 开源 Flash 或部分开源，以便开源社区能够支持Flash。需要插件来支持此功能，或者至少创建可以将 swf/fla 文件转换为 HTML5 和 WebAssembly 代码的工具。

或许这对于 Flash 来说是一个很好的归宿。

当新浪潮袭来，我们很难逆流而上，即便Flash在巨头的博弈中没有落败，但它在移动端暴露的问题、安全问题、性能问题都非常严重， Flash很难在新的网络时代继续称霸，因为人们需要的是一个更安全、更便捷、更强大的网络时代。

Flash 见证了 Web 从最初的刀耕火种到现在微信小程序、Web App、node.js 等日新月异的前端技术的发展。Web 的未来无疑会有更多的可能。Flash作为一个非官方标准，在标准不完善、不成熟的时代，肩负了那个时代的历史使命，推动了Web的蓬勃发展。当它向我们告别时，我们应该给予其最起码的尊重。