Entenda a “falha” do Flash/JSONP

Por
9/7/14, 9h24 3 min 8 comentários

O engenheiro do Google Michele Spagnuolo publicou uma prova de conceito chamada Rosetta Flash que permite a alterar a composição de arquivos no formato SWF, do Flash, para enviar requisições web a sites comprometidos e, com isso, obter cookies de autenticação. Na prática, essa técnica permite que se obtenha dados de login e outras informações sensíveis.

Como ele explica ao Ars Technica, não é bem uma falha que viabiliza esse cenário, mas sim a combinação de dois recursos: a conversão de código binário em caracteres alfanuméricos de arquivos do Flash e o JSONP, uma técnica de comunicação que viabiliza aos desenvolvedores a requisição de dados em diferentes servidores — prática desestimulada pelas brechas que abre e que, de outra forma, é impossível graças à política de mesma origem. Tanto que o essa operação já era conhecida pela comunidade de segurança da informação, e ignorada ante a falta de ferramentas públicas capazes de realizar aquela conversão em caracteres dos arquivos SWF.

Agora, não falta mais. Desde a publicação da prova de conceito alguns sites importantes afetados, como Twitter e Tumblr, consertaram os buracos em seus sistemas. A Adobe lançou uma atualização para o Flash que faz o mesmo do lado cliente, a versão 14.0.0.145, já disponível no site oficial. Quem usa o Chrome, ou o Internet Explorer 10 ou 11 no Windows 8 ou superior, deve esperar a atualização automática — o Flash bem embutido nesses navegadores. Para verificar qual a versão do Flash em uso no seu, visite esta página.

Quem ainda usa Flash?

Em maio desse ano o Google tornou padrão o player HTML5 do YouTube para usuários do Chrome, tornando desnecessário, salvo raras exceções, o plugin do Flash para ver vídeos ali. Há cada vez menos motivos para se ter o Flash instalado, e como os dispositivos móveis com Android e iOS provam, dá para viver bem sem ele.

Só que existem exceções. Perguntei, no Twitter, o que leva as pessoas a manterem o Flash ativado. Algumas respostas foram elucidativas, começando pela explicação do Micael sobre streaming ao vivo e vídeos que são exibidos com DRM:

Algumas outras aplicações dependentes do Flash ainda não têm substitutos, também. Adriano Brandão lembrou dos vídeos da Globo e de serviços de streaming de música, como Rdio e Deezer; Marcelo Carreira, dos sistemas de monitoramento de câmeras; e o Bruno Luiz, dos sites de vídeo indicados para o público adulto. E aqui, no Manual do Usuário, descobri que o WordPress exige o Flash no uploader de imagens.

Plugins só rodam se permitidos pelo usuário.Dependendo do seu perfil e equipamentos, dá para abolir o Flash. Não é tão simples, mas é possível. Um meio termo é a ativação por clique. Desse modo todos os plugins ficam desativados por padrão, mas podem ser trazidos à vida com um clique do usuário no elemento bloqueado. Dá, também, para definir exceções, domínios inteiros que ignoram essa opção e rodam plugins.

No Chrome, entre nas configurações, role a página até embaixo e clique no link “Configurações avançadas…” No tópico Privacidade, clique no botão Configurações de conteúdo… e, em Plug-ins, marque a opção Clique para reproduzir.

  • Dogival Ferreira

    Quando o Source Media Extensions (aka DRM) for implementado na maioria dos navegadores (acho que só falta o Firefox e o Opera) o uso do Flash vai cair ainda mais, vai ficar restrito a Players escusos.

  • Hawk

    No SoundCloud também precisa do flash.

  • Tiago Celestino

    Pra mim, o que faz o Flash ainda está ativado é o simples fato do que as empresas querem/ñ querem seguir um padrão, logo, temos o caso Youtube. No Chrome roda o player do HTML e nos outros não.

  • Anderson

    Ghedin, só uma correção: é O engenheirO. Ele é italiano: http://miki.it/about/

  • Eduardo

    Ghedin, o Rdio não usa o Flash na versão web.

    Já o Spotify, esse sim, usa. Se bem que diferentemente do Rdio, ele não incentiva o uso da versão web, se foca muito mais nos apps.

    O Deezer, da última vez que testei (faz teempo), também usava.

    • Infelizmente o Rdio usa sim, Eduardo. A interface é Flash-free, mas o player ainda depende do plugin para tocar as músicas. Fiz o teste aqui antes de publicar o post.

  • Pingback: Breve História do Sexo nos Videogames | Supernovo.net()