In 2015 werd er niet alleen een recordaantal kwetsbaarheden in Flash ontdekt, er waren in datzelfde jaar tal van belangrijke websites die stopten met de plug-in. YouTube ging grotendeels over op html5 en ook Twitch begon met het uitfaseren van Flash. Facebook stopte in december volledig met het gebruik van Flash voor het afspelen van video's. Eerder zei de beveiligingstopman van het sociale netwerk al dat Flash overal uitgefaseerd moet worden. Hij vindt dat Adobe en browsermakers een datum moeten afspreken waarop Flash niet meer zal werken.
Zover is het nog niet, maar Adobe zette eind vorig jaar zelf een grote stap met de aankondiging van Animate CC als opvolger van Flash Professional. De naamswijziging is een stille hint naar een toekomst zonder Flash. Met het nieuwe pakket kunnen nog wel Flash-animaties worden gemaakt, maar de nadruk ligt meer op html5. In het begeleidend schrijven liet Adobe ook duidelijk weten dat html5 de toekomst heeft en daarmee sloeg de fabrikant als het ware zelf een nagel aan de kist van Flash.
Het percentage websites die Flash gebruiken, neemt ieder jaar sterk af. Volgens HTTP Archive maakt momenteel nog 17 procent van alle gemeten websites gebruik van Flash. Het gaat dan om zowel Flash-elementen op de website zelf als ingeladen advertenties of andere inhoud van derden. W3Techs komt met zijn metingen op het veel lagere percentage van 8,7 procent uit. Waarschijnlijk worden daarbij externe Flash-elementen niet meegerekend.
Flash-banners zullen steeds zeldzamer worden. Google heeft aangekondigd ze vanaf 30 juni helemaal niet meer te accepteren. Lopende campagnes met Flash-banners zijn uiterlijk tot 2 januari 2017 te zien bij het advertentienetwerk van Google. In browsers wordt Flash-inhoud steeds vaker standaard 'gepauzeerd' en dus niet geactiveerd zonder dat een gebruiker erop klikt. Chrome doet dat met Flash-banners en Microsoft is van plan om 'niet-essentiële' Flash-onderdelen vanaf deze zomer standaard te bevriezen in Edge. Apple doet dat in Safari al langer.
Bescherm jezelf
De beste manier om je te beschermen tegen de kwetsbaarheden van Flash is het deïnstalleren van de plug-in. Hoewel je op veel websites tegenwoordig prima zonder kunt, blijven er echter tal van websites over die Flash Player nodig hebben om te functioneren. Een voorbeeld in Nederland zijn de NPO-websites. Wil je iets terugkijken op Uitzending Gemist, dan heb je Flash Player nodig. Ook veel complexe online applicaties, zoals uitgebreide games of programma's, werken niet zonder Flash.
Om jezelf toch te wapenen tegen aanvallers, is het in eerste instantie belangrijk om updates altijd direct te installeren. Daarnaast is het verstandig om 'click-to-play' te activeren in de browser- of plug-in-instellingen. Flash-elementen worden dan niet meer standaard geladen. Lees je een artikel op een website, dan heb je wellicht geen behoefte aan het filmpje dat ook op de pagina staat. Met click-to-play geactiveerd wordt bij iedere pagina waar Flash op staat om toestemming gevraagd voor het uitvoeren van de plug-in. Zolang je niet klikt, wordt het Flash-bestand niet uitgevoerd en heeft een kwaadaardig bestand dus ook geen kans van slagen. Click-to-play biedt geen volledige bescherming, maar het beperkt het risico op een 'drive-by'-besmetting, die je kunt oplopen door per ongeluk een malafide website te bezoeken.
Een toekomst zonder Flash?
Hoewel Flash steeds minder gebruikt wordt op websites, is de plug-in nog altijd op talloze computers geïnstalleerd. Zolang er geen officieel afscheid wordt genomen van de techniek, blijft dat waarschijnlijk zo en daarmee blijft Flash ook voor aanvallers interessant. Vrijwel zeker is dat de Flash Player het niet nog eens twee decennia zal overleven, maar waarschijnlijk duurt het nog wel een aantal jaar voordat de plug-in definitief is uitgefaseerd. Het is te hopen dat de stortvloed aan kwetsbaarheden en aanvallen die in 2015 zijn ontdekt en uitgevoerd, een katalyserende werking hebben op het uitfaseren van Flash.