Twintig jaar Flash: de gevaarlijkste plug-in van internet

Geschiedenis

Flash viert in mei zijn twintigste verjaardag. Een groot feest wordt het waarschijnlijk niet, want de tijd is bijna rijp om een overlijdensbericht te schrijven. Steeds meer websites zweren het softwareplatform voor het opleuken van internetpagina's met animaties, spelletjes, bewegende banners en video's af. Adobe Flash Player, de plug-in waarmee gebruikers Flash-content kunnen bekijken, komt herhaaldelijk negatief in het nieuws vanwege kritieke kwetsbaarheden. Vorig jaar werden er honderden ontdekt, een absoluut record. En al jaren voordat beveiligingslekken een grote rol speelden, zagen velen de Flash Player als een resources vretende, logge plug-in, die computers traag maakte.

Waar komen al die problemen met Flash eigenlijk vandaan en hoe is het mogelijk dat ze al twintig jaar voortduren? Nu Flash twee decennia bestaat, blikken we terug op de geschiedenis en de kwetsbaarheden, maar ook op de memorabele Flash-animaties, -games en -video's die dankzij de software op internet verschenen.

Het begin: FutureSplash Animator

Jonathan Gay, een van de oprichters van Flash, vertelt hoe de animatiesoftware is ontstaan. Dat doet hij in een artikel op de website van Adobe, dat enkel nog via Archive.org is terug te vinden. De eerste versie verscheen in mei 1996 en had de naam FutureSplash Animator. Het pakket was gemaakt door FutureWave Software, een bedrijfje met zes werknemers. Aanvankelijk probeerde FutureWave de technologie te verkopen aan Adobe, maar toen dat niet lukte, bracht het de animatiesoftware zelf uit.

Eenmaal op de markt werd FutureSplash snel opgepikt door grote bedrijven. Microsoft werkte in augustus 1996 aan zijn webportal MSN en wilde een 'televisieachtige' ervaring creëren op internet. Volgens Gay omarmde Microsoft de techniek van FutureSplash en zo kwam het dat de softwaregigant voor de introductie van de MSN-portal de techniek van het kleine softwarebedrijfje gebruikte.

Macromedia Flash 1.0

Ook Disney Online maakte gebruik van de FutureSplash-software, om animaties en een gebruikersinterface te maken voor de Disney Daily Blast. Dit zou een abonnementsdienst worden voor onlinespelletjes. Disney werkte daarnaast samen met Macromedia, dat met zijn Shockwave Player een techniek bood voor het weergeven van multimedia op internet. Macromedia zag de animatietechnologie van FutureWave wel zitten en nam het bedrijfje in december 1996 over.

De overname resulteerde in januari 1997 in de introductie van Macromedia Flash 1.0 en de komst van de Shockwave Flash Player. Die plug-in om Flash-bestanden af te spelen was 100kB groot en daarmee eenvoudig te downloaden. Bovendien waren er wereldwijd al 17 miljoen pc's waarop Macromedia's Shockwave Player was geïnstalleerd, zodoende was er direct een grote afzetmarkt voor Flash. In de volgende jaren groeide de populariteit snel. Volgens Jonathan Gay werkten er in 2001 vijftig mensen aan Flash, maakten 500.000 ontwikkelaars gebruik van de animatiesoftware en was de Flash Player op meer dan 325 miljoen computers geïnstalleerd.

Adobe Flash Player

In 2005 kwam Flash dan toch in handen van Adobe. De softwaremaker nam Macromedia in zijn geheel over voor zo'n 3,4 miljard dollar. De animatiesoftware kreeg een plekje in de Creative Suite-softwarebundel onder de naam Adobe Flash en de plug-in om bestanden af te spelen heette voortaan Adobe Flash Player.

De populariteit van Flash groeide onder de hoede van Adobe verder. In het jaar van de overname werd ook YouTube opgericht, dat snel uitgroeide tot het grootste videoplatform op internet en dat Flash gebruikte voor het tonen van filmpjes. Tot 2007 was er eigenlijk geen vuiltje aan de lucht; vrijwel iedere computer kon overweg met Flash en websites maakten veelvuldig gebruik van de techniek. Wie online een filmpje keek, deed dat vrijwel altijd met de Flash Player en ook het spelen van online spelletjes of het weergeven van bewegende advertenties ging vrijwel zonder uitzondering met behulp van de plug-in. Flash werd bovendien geregeld ingezet voor het ontwerpen van websites, met bewegende menu's en talrijke animaties tot gevolg. In de meeste gevallen kwam dat de gebruiksvriendelijkheid van websites echter niet ten goede.

Steve Jobs verklaart Flash de oorlog

Apple was het eerste grote bedrijf dat openlijk de oorlog verklaarde aan Adobe Flash, door de techniek niet te ondersteunen op zijn iPhone en iPad. In 2007 presenteerde Steve Jobs de iPhone en het ontbreken van Flash werd door velen gezien als een gemis, omdat de plug-in zo'n belangrijke plaats had ingenomen op internet. Een filmpje kijken via de browser was vaak niet mogelijk en websites die Flash gebruikten voor de interface, functioneerden niet of slecht.

Vooral bij de aankondiging van de iPad in 2010 kwam er veel kritiek op het ontbreken van Flash. Apple presenteerde zijn tablet als een apparaat waarmee je het volledige internet 'in je handen' kon houden en het ontbreken van Flash-ondersteuning strookte volgens veel mensen niet met dat idee. Steve Jobs verdedigde de keuze van Apple in een open brief, waarin hij Flash te instabiel en te traag noemde voor mobiel gebruik. Ook hekelde hij het feit dat Flash geen opensourcetechnologie is en riep hij op tot gebruik van html5, dat destijds nog in ontwikkeling was. Jobs sloot zijn brief af met het advies aan Adobe om meer te focussen op html5 en het verleden, oftewel Flash, achter zich te laten.

Steve Jobs iPad 1 2010 Steve Jobs presenteert de iPad, zonder Flash.

Adobe was het uiteraard niet eens met de kritiek van Apple en wilde na het veroveren van de desktopmarkt Flash ook naar mobiele platforms brengen. In 2009 kondigde het bedrijf versie 10.1 van Flash aan en dat ging gepaard met bètaondersteuning voor Android, Symbian OS, Windows Mobile en Palm Web OS. Blackberry zou een jaar later volgen. Flash werd echter nooit een succes op mobiele besturingssystemen en Adobe gooide al snel de handdoek in de ring. Zo'n anderhalf jaar na de aankondiging werd duidelijk dat de ontwikkeling van Flash voor mobieltjes stopgezet zou worden. In 2012 trok Adobe definitief de stekker van Flash voor Android eruit en werd de app uit de Google App Store verwijderd.

1,3 miljard computers met Flash

Adobe meldt trots dat meer dan een miljard desktops wereldwijd gebruikmaken van Adobe Flash Player. Op de downloadpagina is zelfs te lezen dat de software op 1,3 miljard systemen is geïnstalleerd. Dat maakt ontwikkelen in Flash aantrekkelijk, want het potentiële bereik is enorm. De reden waarom Flash zo groot is geworden, is dat het platform- en browseronafhankelijk werkt. Of je nu Windows, OS X of Linux draait, Chrome, Safari of Edge gebruikt: Flash werkt overal hetzelfde, zowel in oude als in nieuwe versies van besturingssystemen en browsers.

Een opvallend gegeven dat Adobe eveneens op zijn statistiekenpagina meldt, is dat meer dan 400 miljoen van de computers met Flash binnen zes weken na het uitkomen van een update deze ook installeren. Dat zou betekenen dat 600 miljoen computers niet binnen zes weken updaten en dus kwetsbaar zijn voor gaten in de beveiliging. Ook de computers die wel in de genoemde periode van een update worden voorzien, zijn desondanks een aantal weken kwetsbaar.

Kritieke kwetsbaarheden

Het feit dat Flash op ruim een miljard computers te vinden is, maakt de software ook geliefd bij criminelen en andere kwaadwillenden. Wie een kritieke kwetsbaarheid in de Flash Player weet te vinden of in handen krijgt, dringt potentieel een enorm aantal computers binnen. Dat is niet alleen een theoretisch probleem, want kwetsbaarheden zijn in groten getale aanwezig in de Flash Player-software. Dat blijkt wel als we de statistieken van de afgelopen jaren erop naslaan.

Direct valt op dat er in 2015 een enorme piek is ontstaan in het aantal ontdekte kwetsbaarheden. Hoewel niet elk geval een kritiek lek betreft, ging het in 268 gevallen om een code execution vulnerability, een ernstig lek waarmee het mogelijk is om kwaadaardige code uit te voeren op de computer van de gebruiker. Dergelijke kwetsbaarheden worden bijvoorbeeld gebruikt om ransomware te installeren. Ook in 2016 zijn er al tal van nieuwe kwetsbaarheden in de Flash Player ontdekt. Op het moment van schrijven staat de teller op 79 cve's.

De gigantische groei in ontdekte kwetsbaarheden in Adobe Flash Player is volgens onderzoekers wellicht het gevolg van flinke verbeteringen die zijn gemaakt in de beveiliging van Java in 2014. Voor die tijd was de Java-plug-in erg populair bij kwaadwillenden. Sinds begin dit jaar is de Java-plug-in overigens door de maker zelf afgeschreven. Daarmee is Java geen interessant aanvalsobject meer en werd de focus verlegd naar andere plug-ins, waaronder Flash.

Frank Siemons, beveiligingsonderzoeker bij het InfoSec-instituut, zegt tegen Tweakers dat het een vicieuze cirkel is geworden. "Er zitten veel kwetsbaarheden in Flash, dus worden daar veel exploits voor geschreven. Dat houdt de aandacht op Flash gevestigd, waardoor er weer meer kwetsbaarheden worden gevonden. Het enorme marktaandeel van computers met Flash, veelal oude versies, maakt het tot het perfecte medium om ransomware of andere malware mee te verspreiden."

Volgens Siemons is beveiliging een ondergeschoven kindje gebleken bij de ontwikkeling van Flash. "Adobe heeft Flash, met succes, zo compatibel mogelijk geprobeerd te houden en heeft veel aanpassingen gedaan om vernieuwingen op het internet snel door te voeren. Inmiddels is Flash een product geworden met ontzettend veel en vaak oude bugs in de code."

Flash Player aan kop in Exploit Kits

In het jaarlijkse global threat intelligence report van de NTT Group schrijven onderzoekers dat het misbruik van kwetsbaarheden in Flash in zogenaamde exploit kits vorig jaar drastisch is toegenomen. Nieuwe Java-exploits zijn er vrijwel niet bijgekomen. Deze exploit kits, met namen als Angler EK, Neutrino, Nuclear Pack en Magnitude, zijn programma's die worden verkocht via hackforums en sommige irc-kanalen. Ze bevatten tools waarmee misbruik gemaakt kan worden van kwetsbaarheden in verschillende software, van besturingssystemen tot browsers en plug-ins. Met een exploit kit kan een crimineel op grote schaal aanvallen uitvoeren op kwetsbare systemen, zonder dat daarvoor veel kennis nodig is.

Exploit kits leunen sinds 2015 meer dan ooit op kwetsbaarheden in Flash Player. Afbeelding afkomstig uit het rapport van NTT Group.

De beveiligingsonderzoekers hebben een lijst gemaakt van de kwetsbaarheden die in 2015 het meest werden gebruikt in exploit kits. De volledige top tien bestaat uit kwetsbaarheden in de Flash Player. In de onderstaande tabel zijn de desbetreffende cve's genoteerd. Al deze kwetsbaarheden worden actief misbruikt in exploit kits. De genoemde kwetsbaarheden zijn allemaal opgelost met updates voor Flash Player, maar ook de exploit kits worden doorlopend voorzien van updates met nieuwe mogelijkheden om gebruikers aan te vallen.

Van een aantal kwetsbaarheden is bekend dat ze ook zijn ingezet bij omvangrijke hackcampagnes die op overheden en bedrijven zijn gericht. Zo kwamen er verschillende zero-days aan het licht toen hackers 400GB aan data van het beveiligingsbedrijf Hacking Team buitmaakten. Het Italiaanse bedrijf levert onder meer tools aan overheden die daarmee internetgebruikers in de gaten willen houden.

Kwetsbaarheid	Software	Toepassing
CVE-2015-0311	Adobe Flash Player	Gebruikt bij malvertising op pornowebsite.
CVE-2015-5119	Adobe Flash Player	Zero-day, door Hacking Team omschreven als 'de mooiste Flash-bug van de afgelopen vier jaar'.
CVE-2015-5122	Adobe Flash Player	Zero-day die werd gebruikt door Hacking Team.
CVE-2015-0359	Adobe Flash Player	Gebruikt in tal van exploit kits.
CVE-2015-0313	Adobe Flash Player	Zero-day die werd gebruikt door Hacking Team.
CVE-2015-3090	Adobe Flash Player	Gebruikt in diverse exploit kits.
CVE-2015-3113	Adobe Flash Player	Zero-day, gebruikt door Chinese hackers in operatie 'Clandestine Wolf' tegen tech- en industriebedrijven.
CVE-2015-0336	Adobe Flash Player	Gebruikt in diverse exploit kits.
CVE-2015-7645	Adobe Flash Player	Zero-day die werd gebruikt in Pawn Storm-campagne gericht op overheden.
CVE-2015-3105	Adobe Flash Player	Gebruikt in diverse exploit kits.

Met malvertising worden gebruikers naar een kwaadaardige website gelokt, waar met behulp van een exploit kit computers geïnfecteerd worden met bijvoorbeeld ransomware. Afbeelding afkomstig uit het rapport van NTT Group.

De waarde van een zero-day in Flash

Handel in kritieke kwetsbaarheden is een miljoenenbusiness. Met het misbruiken van kwetsbaarheden kunnen criminelen geld verdienen, door bijvoorbeeld malware of ransomware te installeren. Het ontdekken van kwetsbaarheden levert echter ook geld op. Er zijn wereldwijd tal van bedrijven die handelen in zero-days en ook op de zwarte markt wordt gehandeld in kwetsbaarheden. Welke bedragen er precies in omgaan, is vaak niet duidelijk, al doet Zerodium daar niet moeilijk over. Dat bedrijf heeft alle details van zijn exploit acquisition program online staan. Een zero-day in Flash Player die het op afstand uitvoeren van code mogelijk maakt, levert tot 50.000 dollar op. Een kwetsbaarheid met sandbox escape is tot 80.000 dollar waard.

Deze bedragen zijn veel hoger dan wat onderzoekers kunnen verdienen met het eerlijk melden van een gevonden kwetsbaarheid. Adobe heeft zelf in het geheel geen bug bounty-programma waarmee het onderzoekers uitbetaalt. Het softwarebedrijf is sinds vorig jaar wel aangesloten bij het HackerOne-platform, waar whitehathackers kwetsbaarheden kunnen melden, maar meer dan 'reputatie' krijgen ze niet van Adobe.

Via het Internet Bug Bounty-programma, eveneens op HackerOne, is wel geld te verdienen met het melden van kritieke kwetsbaarheden in Flash Player. Het gaat dan om een bedrag van minimaal 2000 dollar, tot 'meer dan' 5000 dollar als de melding een uitgebreide beschrijving en proof-of-concept bevat. Het hoogste bedrag dat tot nog toe via deze weg is uitgekeerd, is 10.000 dollar. De organisatie achter dit programma bestaat uit bedrijven die het internet zo veilig mogelijk willen maken en daar zelf geld voor beschikbaar stellen. Sponsors zijn onder andere Facebook en Microsoft.

Wanneer een bug-bountypogramma geld uitkeert, heeft dat voor bedrijven een dubbele werking, benadrukt Siemons. "Het motiveert ontdekkers van bugs om deze verantwoord te melden, zodat de code op tijd aangepast kan worden. Aan de andere kant motiveert het bedrijven om hun eigen bugs te ontdekken, zodat ze de bounties niet te vaak uit hoeven te keren. Adobe keert zelf geen geld uit en heeft die motivatie dus niet." Overigens heeft Adobe wel eigen beveiligingsonderzoekers in dienst die problemen opsporen en aan oplossingen werken.

Toepassing van kritieke kwetsbaarheden

NSA company logo Kritieke lekken worden niet alleen door criminelen gebruikt, maar ook door overheidsinstanties of hackers die opereren in opdracht van overheden. Zo heeft de NSA een miljoenenbudget voor het verkrijgen van details over kwetsbaarheden in software. Nu zal niet al dat geld naar zero-days in de Flash Player gaan, maar een deel waarschijnlijk wel. Ook de Nederlandse Defensie beschikt over een budget waarmee zero-days gekocht kunnen worden. Hoeveel er in het bezit zijn van de overheid is niet bekend.

Er zijn ook concrete voorbeelden van hackoperaties waarbij kwetsbaarheden in Flash werden gebruikt voor aanvallen met politieke motivatie. Zo werd vorig jaar een zero-day gebruikt in operatie Pawn Storm, die door Trend Micro in kaart is gebracht. Volgens het beveiligingsbedrijf is Pawn Storm een operatie die geleid wordt vanuit Rusland en het gemunt heeft op onder andere het Witte Huis, de NAVO, Russische dissidenten, politieke tegenstanders van het Kremlin en activisten uit Oekraïne.

Virals, games en cultseries

Het mag duidelijk zijn dat Flash Player een gevaarlijke en kwetsbare plug-in is, maar op zijn minst hebben veel tweakers waarschijnlijk een haat-liefdeverhouding met de software. De flitsende banners en beveiligingsproblemen kunnen we missen als kiespijn, maar dankzij Flash verschenen er in de afgelopen twintig jaar ook tal van memorabele browsergames, legendarische internetmemes en animatiefilmpjes die uitgroeiden tot ware cultseries.

Met Flash werd het voor creatievelingen relatief eenvoudig om zelf animatiefilmpjes of spelletjes in elkaar te zetten en te delen met de rest van de wereld. Al snel na het ontstaan van de techniek kwamen er dan ook verschillende portals waarop dergelijke Flash-creaties te zien en te spelen waren. Een aantal bekende namen zijn Newgrounds, AlbinoBlacksheep, Kongregate en Heavy.com. Die eerste drie websites vervullen nog altijd een vergelijkbare rol als waarmee ze eind jaren negentig begonnen.

All Your Base Are Beolong To Us

Een van de eerste en bekendste Flash-video's die viral gingen, is All Your Base Are Belong To Us. In het filmpje wordt de draak gestoken met het steenkolenengels uit de Japanse arcadegame Zero Wing uit 1989, gevolgd door een reeks foto's met vergelijkbaar Engrish. Het Flash-bestand werd rond de millenniumwisseling vooral via e-mail en forums verspreid en wist een groot deel van internet in zijn greep te krijgen. Zo resulteerde het op Gathering of Tweakers in een lange reeks topics waarin forumleden hun eigen fotobewerkingen plaatsten.

Andere voorbeelden van bekende Flash-video's uit die tijd zijn The Ultimate Showdown en Numa Numa Dance. Dergelijke video's zouden vandaag de dag waarschijnlijk op YouTube of Facebook geüpload worden, maar voor de komst van dergelijke platforms was het gebruikelijk om filmpjes in swf-formaat te publiceren.

Happy Tree Friends

Flash werd niet alleen gebruikt voor korte, grappige filmpjes, er werden ook complete webseries mee gemaakt, die in sommige gevallen later op tv werden uitgezonden. Dat was bijvoorbeeld het geval bij Happy Tree Friends, een animatieserie waarin schattige dieren in korte filmpjes van een paar minuten op gruwelijke wijze aan hun einde komen. In 2000 verscheen de eerste aflevering online en al snel werd de serie populair. Rond 2005 werden de Happy Tree Friends-afleveringen zo'n vijftien miljoen keer per maand bekeken.

Alle afleveringen van Happy Tree Friends zijn te vinden op YouTube

Met behulp van Flash konden de episodes snel gemaakt worden en het verspreiden van de relatief kleine swf-bestanden was eenvoudig. Kenn Navarro, een van de makers en stemacteur van de serie, zegt in een interview met website Coldhardflash dat het maken van een aflevering enkele weken kostte, terwijl het maken van dezelfde animatie voor de komst van Flash maanden geduurd zou hebben. MTV zond de serie in 2006 uit op tv, in een aangepaste vorm met langere afleveringen. Ook verschenen er dvd's van de serie over de vrolijke boomvriendjes.

Naast Happy Tree Friends zijn er tal van andere webseries gemaakt met Flash. Bekende namen zijn bijvoorbeeld Cyanide & Happiness en Weebl and Bob. Flash werd niet alleen rond de eeuwwisseling gebruikt voor animaties, er zijn ook recente voorbeelden, zoals de Japanse tv-serie Ping Pong.

Flash-games

Flash bleek niet alleen een handig formaat om filmpjes te animeren, de techniek maakt ook interactieve swf-bestanden mogelijk. Dat resulteerde in tal van gratis te spelen browsergames, variërend van simpel en eenvoudig tot behoorlijk complex. Veel portals waarop Flash-video's gehuisvest werden, dienden ook als verzamelplaats voor Flash-spelletjes.

In 2004 kwam de eerste versie van Yetisports uit: Pingu Throw. In het spelletje bedient de speler een yeti met een honkbalknuppel en is het doel om een pinguïn zo ver mogelijk te meppen. Later verschenen er diverse opvolgers en apps voor Android, iOS en Windows.

Pingu Throw Ook vandaag de dag worden er nog veel Flash-games gemaakt. Een vrij recent voorbeeld is Kingdom Rush, dat is uitgegroeid tot een van de populairste tower defence-games op iOS en Android. Oorspronkelijk was dat een Flash-game. In juli 2011 bracht IronHide de browserversie uit en pas eind dat jaar kwam de game in app-vorm uit voor de iPad. Ook Machinarium uit 2009 begon als Flash-game en werd later een populaire app voor tablets.

Volgens Adobe zijn 24 van de 25 populairste spelletjes op Facebook gemaakt met Flash. Deze games worden waarschijnlijk door tientallen of zelfs honderden miljoenen mensen gespeeld en zowel Facebook als Adobe is erbij gebaat dat dit geen grote veiligheidsrisico's met zich meebrengt. In november maakte Adobe bekend samen te werken met Facebook om Flash-games betrouwbaar en veilig te houden. Facebook zal beveiligingsinformatie doorspelen aan Adobe 'om de Flash Player te verbeteren'. Adobe zegt dergelijke samenwerkingen ook met Microsoft en Google te hebben.

Kingdom Rush Flash-versie

Kingdom Rush, begonnen als Flash-game en daarna groot geworden op iOS en Android

Alternatieven

Hoewel Flash al twintig jaar bestaat, zijn er ook al jarenlang alternatieven. Dat html5 de rol van Flash op internet grotendeels zal overnemen, is inmiddels ook al enkele jaren duidelijk. In het verleden waren er echter meer kapers op de kust, zoals RealPlayer. Ook Microsoft probeerde een deel van het marktaandeel van Flash af te snoepen.

Microsoft Silverlight

In 2006 stelde Microsoft zijn Flash-killer WPF/E voor. Een 'Everywhere'-variant van de Windows Presentation Foundation, die de basis vormt voor de grafische schil van Windows. Een jaar later werd de techniek officieel gepresenteerd onder de noemer Silverlight. Microsoft wilde website- en contentmakers overhalen om zijn techniek te gebruiken door onder meer de toevoeging van PlayReady-drm, kopieerbeveiliging voor films. Onder andere Netflix had daar wel oren naar en gebruikte de plug-in jarenlang voor de webversie van zijn streamingdienst.

Silverlight logo Analisten twijfelden bij de introductie van Silverlight al aan de groeimogelijkheden en ze bleken gelijk te krijgen. Adobe had met zijn Flash-plug-in een dermate groot marktaandeel verworven, dat het de de facto standaard was geworden voor interactieve content op internet. Microsoft heeft daar met Silverlight nooit veel aan kunnen veranderen. In 2011 gebruikte 0,3 procent van alle websites Silverlight, terwijl in datzelfde jaar Flash op 28 procent van alle websites werd toegepast. Anno 2016 is de techniek van Microsoft volgens statistieken van W3Techs nog op 0,1 procent van alle websites in gebruik.

Het mag duidelijk zijn dat Silverlight nooit een serieuze kans heeft gehad om Flash van de troon te stoten en Microsoft kondigde dan ook zelf in 2012 aan te stoppen met de verdere ontwikkeling van de plug-in. Ook besloot het bedrijf om de plug-in zelfs niet meer te ondersteunen in zijn Edge-browser, maar ontwikkelaars aan te sporen om gebruik te maken van open standaarden zoals html5. Wel blijft Microsoft tot 2021 beveiligingsupdates en bugfixes uitbrengen voor Silverlight.

De lange weg naar html5

Inmiddels kiezen steeds meer websites voor html5 in plaats van Flash. In tegenstelling tot Flash Player is html5 geen plug-in, maar onderdeel van de browser. Gebruikers hoeven geen extra, potentieel kwetsbare, software te installeren. Dat is echter ook een nadeel, omdat de implementatie van html5 in iedere browser anders is. Vooral in de beginjaren van de html5-techniek was er daardoor veel inconsistentie in compatibiliteit onder browsers. Met name Internet Explorer bleef lang achter ten opzichte van de concurrentie. Op de website html5readiness is een grafische vergelijking te zien van welke html5-functies ondersteund werden in de populaire browsers vanaf 2008 tot 2013. Anno 2016 wordt de html5-standaard door alle moderne browsers goed ondersteund.

Het eerste ontwerp van de html5-specificaties werd al in 2008 gepubliceerd. In 2012 werden de definitieve specificaties vastgelegd en in oktober 2014 werd html5 tot officiële standaard verheven. Vooral de ondersteuning voor drm was controversieel. De W3C-organisatie wilde geen kopieerbeveiliging in de standaard integreren, maar besloot uiteindelijk het protest tegen drm naast zich neer te leggen. Hoewel verschillende partijen niet blij waren met de drm-ondersteuning in html5, heeft de toevoeging ervan waarschijnlijk wel bijgedragen aan de acceptatie van html5. Streamingdiensten als Netflix en Spotify, die eerder Silverlight of Flash gebruikten omwille van de drm-mogelijkheden, konden nu ook de overstap maken naar html5.

Het grote voordeel van de webstandaard is dat hij zowel op mobiele besturingssystemen als op desktops werkt. Sinds de standaard definitief is gemaakt, laten steeds meer grote bedrijven en websites Flash achter zich, ten gunste van html5. Voor het weergeven van video's, advertenties en animaties heeft html5 vrijwel geen beperkingen of nadelen ten opzichte van Flash.

Flash omzetten naar html5

Of Flash binnen afzienbare tijd volledig van internet verdwijnt, is nog maar de vraag. Dat is ook niet zozeer een doel. De grootste veiligheidsproblemen zouden kunnen worden opgelost door de plug-in in ieder geval niet meer client-side, op computers van gebruikers, te draaien. Zowel Mozilla als Google werkt aan methodes om Flash-bestanden te kunnen bekijken in de browser, zonder gebruik te maken van de Flash Player-plug-in.

De techniek van Mozilla, bekend onder de naam Shumway, zet Flash-bestanden om in html5 met behulp van javascript. In 2012 begon de techniek als experiment en in 2013 werd de functie voor het eerst opgenomen in een nightly van Firefox als test. Mozilla werkt nog steeds aan de techniek, maar een officiële implementatie is er nog niet. Er is wel een website met voorbeelden, waar ook een Shumway-extensie voor Firefox gedownload kan worden.

Google heeft met Swiffy een vergelijkbare techniek, al is die niet bedoeld om in de browser te draaien. Ontwikkelaars en adverteerders kunnen zelf hun Flash-bestanden uploaden, zodat deze omgezet worden in html5. Inmiddels zet Google de Swiffy-techniek ook in om bestaande Flash-advertenties om te zetten.

Einde in zicht

In 2015 werd er niet alleen een recordaantal kwetsbaarheden in Flash ontdekt, er waren in datzelfde jaar tal van belangrijke websites die stopten met de plug-in. YouTube ging grotendeels over op html5 en ook Twitch begon met het uitfaseren van Flash. Facebook stopte in december volledig met het gebruik van Flash voor het afspelen van video's. Eerder zei de beveiligingstopman van het sociale netwerk al dat Flash overal uitgefaseerd moet worden. Hij vindt dat Adobe en browsermakers een datum moeten afspreken waarop Flash niet meer zal werken.

Zover is het nog niet, maar Adobe zette eind vorig jaar zelf een grote stap met de aankondiging van Animate CC als opvolger van Flash Professional. De naamswijziging is een stille hint naar een toekomst zonder Flash. Met het nieuwe pakket kunnen nog wel Flash-animaties worden gemaakt, maar de nadruk ligt meer op html5. In het begeleidend schrijven liet Adobe ook duidelijk weten dat html5 de toekomst heeft en daarmee sloeg de fabrikant als het ware zelf een nagel aan de kist van Flash.

Het percentage websites die Flash gebruiken, neemt ieder jaar sterk af. Volgens HTTP Archive maakt momenteel nog 17 procent van alle gemeten websites gebruik van Flash. Het gaat dan om zowel Flash-elementen op de website zelf als ingeladen advertenties of andere inhoud van derden. W3Techs komt met zijn metingen op het veel lagere percentage van 8,7 procent uit. Waarschijnlijk worden daarbij externe Flash-elementen niet meegerekend.

Flash-banners zullen steeds zeldzamer worden. Google heeft aangekondigd ze vanaf 30 juni helemaal niet meer te accepteren. Lopende campagnes met Flash-banners zijn uiterlijk tot 2 januari 2017 te zien bij het advertentienetwerk van Google. In browsers wordt Flash-inhoud steeds vaker standaard 'gepauzeerd' en dus niet geactiveerd zonder dat een gebruiker erop klikt. Chrome doet dat met Flash-banners en Microsoft is van plan om 'niet-essentiële' Flash-onderdelen vanaf deze zomer standaard te bevriezen in Edge. Apple doet dat in Safari al langer.

Bescherm jezelf

De beste manier om je te beschermen tegen de kwetsbaarheden van Flash is het deïnstalleren van de plug-in. Hoewel je op veel websites tegenwoordig prima zonder kunt, blijven er echter tal van websites over die Flash Player nodig hebben om te functioneren. Een voorbeeld in Nederland zijn de NPO-websites. Wil je iets terugkijken op Uitzending Gemist, dan heb je Flash Player nodig. Ook veel complexe online applicaties, zoals uitgebreide games of programma's, werken niet zonder Flash.

Om jezelf toch te wapenen tegen aanvallers, is het in eerste instantie belangrijk om updates altijd direct te installeren. Daarnaast is het verstandig om 'click-to-play' te activeren in de browser- of plug-in-instellingen. Flash-elementen worden dan niet meer standaard geladen. Lees je een artikel op een website, dan heb je wellicht geen behoefte aan het filmpje dat ook op de pagina staat. Met click-to-play geactiveerd wordt bij iedere pagina waar Flash op staat om toestemming gevraagd voor het uitvoeren van de plug-in. Zolang je niet klikt, wordt het Flash-bestand niet uitgevoerd en heeft een kwaadaardig bestand dus ook geen kans van slagen. Click-to-play biedt geen volledige bescherming, maar het beperkt het risico op een 'drive-by'-besmetting, die je kunt oplopen door per ongeluk een malafide website te bezoeken.

Een toekomst zonder Flash?

Hoewel Flash steeds minder gebruikt wordt op websites, is de plug-in nog altijd op talloze computers geïnstalleerd. Zolang er geen officieel afscheid wordt genomen van de techniek, blijft dat waarschijnlijk zo en daarmee blijft Flash ook voor aanvallers interessant. Vrijwel zeker is dat de Flash Player het niet nog eens twee decennia zal overleven, maar waarschijnlijk duurt het nog wel een aantal jaar voordat de plug-in definitief is uitgefaseerd. Het is te hopen dat de stortvloed aan kwetsbaarheden en aanvallen die in 2015 zijn ontdekt en uitgevoerd, een katalyserende werking hebben op het uitfaseren van Flash.

4. Alternatieven
5. Einde in zicht
137Reacties

Multipage-opmaak

Reacties (137)

Jo-W 6 mei 2016 14:58

Er staat een aardige fout in het artikel. De meeste browsers (Google, Mozilla, Apple, Opera) implementeren helemaal geen HTML 5 of 5.1 van het W3C! Er is jaren (!) geleden onenigheid geweest met het W3C, ze hebben toen een nieuw consortium opgericht (WHATWG), daar kan je de "HTML Living Standard" vinden, dat is de goede standaard. Naar de standaard van het W3C wordt niet gekeken. Ook zijn er geen versie nummers meer, er zal geen HTML 6 komen, de laatste versie van de standaard is gewoon de geldende standaard (op git).

"HTML 5" is eigenlijk een marketing term/buzzword geworden, dat is niet zo erg. Maar dat de standaard _niet_ van het W3C vind ik wel belangrijk, het zijn hele andere mensen die er veel tijd insteken, ook vaak vrije tijd!

Dit is trouwens ook het geval met de DOM standaard.

Disclaimer: ik heb zelf ook bijgedragen aan deze standaarden, vandaar misschien de sterke mening

David Mulder @Jo-W • 6 mei 2016 22:12

Klopt inderdaad, al zou ik niet zeggen dat per se zeggen dat WHATWG de 'goede' standaard is. Er was simpelweg onenigheid over de richting waarop men op wou en WHATWG heeft uiteindelijk gewonnen waarbij het W3C weer HTML5 van WHATWG (wat toen nog HTML5 heette). Hoe dan ook, naar de spec van het W3C word wel degelijk en de ontwikkeling van specs is vaak genoeg een vaag wisselspel waarbij ze uiteindelijk op hetzelfde uitkomen. Word er zelf trouwens totaal gek van, had persoonlijk veel liever gezien dat op het moment dat W3C hun verlies min of meer toegaf dat de HTML ontwikkeling weer gewoon onder W3C zou komen, maar goed, wie weet gebeurt dat ook gewoon wel weer op termijn.

Hoe dan ook, fijn artikel, vooral omdat het tenminste tot in zekere mate erkent dat de dood van Flash onnatuurlijk en vreemd was. Ondanks dat ik een gigantisch HTML5 evangelist ben (in het volle besef dat 'HTML5' niet de officiele naam van de geïmplementeerde spec is) had ik veel liever gezien dat HTML5 op een natuurlijke manier van Flash had gewonnen in plaats van de plotselinge haat tegen Flash door Apple. Flash gebruikte meer resources, maar het leverde ook performance die pas nu een paar jaar in HTML/JS/CSS mogelijk zijn, terwijl er dus tussendoor een pijnlijk gat was waar geen van 2 een serieuze optie was (Flash niet omdat iOS toentertijd groter was dan Android op de mobiele markt en HTML5 niet omdat dat gewoon nog niet goed genoeg was).

Als je het aan mij vraagt was Flash echt een geweldig goed ontworpen product en zou het ze ook prima zijn gelukt om een goeie Flash speler voor mobieltjes te maken (hij was in het begin inderdaad traag, maar in het begin was bijna alles traag op smartphones), het enige probleem wat overblijft natuurlijk is alle security problemen waar Flash last van had. En dat was volgens mij vooral een gevalletje 'luggage from the past' en niet de motivatie om een totaal nieuwe versie van Flash te maken terwijl Flash toch al dood ging. Zou Apple niet zo geirriteerd zijn geweest op Adobe dan was denk ik de kans groot geweest dat Adobe wel degelijk die investering zou hebben gemaakt (net zoals de meeste browser makers ook in de laatste 5 jaar nieuwe HTML en Javascript engines hebben geintroduceerd).

Olaf 6 mei 2016 10:36

Ik kijk nog altijd met pijn in het hart naar de teloorgang van Flash. In de beginjaren was het een geweldige manier om snel vectorgebaseerde animaties van beperkte omvang te maken. De gebruiksvriendelijkheid nodigde enorm uit tot creativiteit, en niet alleen beperkt tot het grafische deel. Ik denk dat veel gebruikers met ActionScript hun eerste programmeerstappen hebben gemaakt. Ik weet nog goed dat sites als mono*crafts de complexe mogelijkheden van Flash toonden waarna het hek van de dam was. Te pas en te onpas werd Flash gebruikt voor niet alleen schreeuwerige banners en games maar hele websites met overbodige toeters en bellen. Daardoor kreeg het de naam log te zijn en resources op te snoepen. Na het toevoegen van steeds meer functionaliteit en de overname door Adobe ging het snel bergafwaarts.

Nas T @Olaf • 6 mei 2016 10:53

Wat me verbaast is dat ik nog (onbewust) zoveel heb meegekregen van de geschiedenis. Newgrounds, Kongregate, de bekende spelletjes, animaties als happy tree friends en dergelijke...de meeste ken ik, alleen heb ik nooit beseft dat het zo bekend was. Ik kijk ook met weemoed terug naar wat er allemaal is gemaakt. Vergane glorie....en dat terwijl ik nog "maar" 30 jaar jong/oud ben.

Maar goed dat we met HTML5 een goed alternatief hebben, helaas met DRM, maar ik ben bang dat dat een noodzakelijk kwaad is...
Wel vreemd is dat het grootste kritiekpunt, veiligheid, nooit écht is aangepakt. Je zou op een gegeven moment wel verwachten dat er een soort van service-pack achtige update zou komen waarbij de onderliggende structuur van Flash grondig zou worden aangepakt.
Ook vreemd vind ik de uitspraak van note bene Apple, dat Flash open-source moet zijn. Ik hekel Apple vanwege het gesloten karakter, maar ze willen zelf liever met open source software te maken hebben.

Al met al een mooi en uitgebreid artikel door Tweakers

, dank je hiervoor!

cmegens @Nas T • 6 mei 2016 18:08

Ook vreemd vind ik de uitspraak van note bene Apple, dat Flash open-source moet zijn. Ik hekel Apple vanwege het gesloten karakter, maar ze willen zelf liever met open source software te maken hebben.

Dat is niet zo vreemd. Apple houdt inderdaad hun eigen systeem gesloten, maar is een groot voorstander van het open web. Vandaar dat webkit bijvoorbeeld open source is en dat Apple een voorloper is geweest in de ontwikkeling van HTML5 en CSS3. Dat ze iTunes niet opensource maken vindt ik niet zo spannend, dat ze webkit open source hebben gemaakt heeft een vele grotere impact gehad.

Verwijderd @cmegens • 7 mei 2016 12:24

Je geeft iets teveel credit aan Apple met betrekking tot WebKit. (Apple fan?)

WebKit kwam uit de Linux Scene, en is niet van de grond af aan ontwikkeld door Apple.
En we zien juist NU dat Apple niet heel veel doet aan WebKit, maar juist Google.
Google werkte samen met Apple het meest aan WebKit, echter Google wou een andere koers varen en de codebase over de kop gooien wat lastig gaat wanneer je geen fork maakt.

Wat deed Google? Ze forkte WebKit en maakte daar Blink van. En dat was de afgang van WebKit, omdat je toen zag hoe weinig werk Apple aan Webkit doet.

WebKit begint nu steeds verder achter de lopen op de W3C standaarden, en implementeren niet eens nieuwe fancy nieuwe test dingen zoals bij Chrome wel het geval is.

WebKit is de nieuwe (oude) internet explorer van vroeger aan het worden. En dit zal doorwerken in iMac's, iPhones en iPad's met dat ze een grote marktaandeel hebben maar niks doen om een beetje bij de standaard aan te sluiten. Dit zal tot ergenis leiden bij de web ontwikkelaars. WebKit(Safari) is de nieuwe oude Internet explorer.

Dit betekend dat je straks de beste web ervaring zult hebben op o.a. Android telefoons en Android tablets. En straks een afgang krijgt op je iPad/iPhone. (Dit is nog niet zo het geval, maar zal zeker straks merkbaar worden wanneer de "w3c standaard gap" groter zal worden met webkit.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:49]

analog_ @Verwijderd • 8 mei 2016 03:23

Het is enger wanneer je beseft dat het Google ecosysteem dermate ver reikt dat het feitelijk gebruikers van het open-web afkaapt in een Google habitat met google protocollen/clients en specificaties (wie zit er achter al die nieuwe features vaak?).

Verwijderd @analog_ • 8 mei 2016 09:56

Het is niet zoals vroeger dat men gewoon maar een feature implementeert. Deze moet wel via W3C of WHATWG. Dat Google de nieuwste features zeer snel implementeert heeft weer te maken met belangen met betrekking tot het web. Voor Google is het WWW gewoon veel belangrijker dan Apple/Microsoft.

Dat Google als eerste bijvoorbeeld web componenten ondersteund, of web animations of welke nieuwe fancy features. Deze zijn niet proprietary. Deze gaan via de organisatie en dan mogen de browsers ze implementeren. Waarbij Google gewoon razendsnel is met de implementatie. Tsja, maar dat heeft niks met een google habitat te maken. En het is nog steeds open-web.
Ze zijn gewoon sneller.

BarôZZa @analog_ • 8 mei 2016 20:10

Dat is niet eng, dat is gewenst. De ontwikkelingen gaan nu hard omdat het een webbouwer is die aan een browser werkt in plaats van een OS/softwarebakker. Google weet als geen ander welke zaken er verbeterd kunnen worden en waar de prioriteiten moeten liggen Zo hebben ze van snelheid een topprioriteit gemaakt met de Chrome, de Javascript engine (die ook weer in Node.js gebruikt wordt), spdy(de basis van http/2), pagespeed en zaken als service workers. Je merkt het ook goed aan de developer tools die naadloos aansluiten op wat je als web developer nodig hebt.

Google heeft geen belang bij het kapen van de specs, maar het belang is juist dat zoveel mogelijk mensen een goede browser gebruiken met zo min mogelijk beperkingen zodat op zich praktisch alles op het web gedaan kan worden(en dus weer Google diensten gebruiken).

De belangen voor Microsoft en Apple zijn anders. Het was voor Microsoft niet perse gunstig dat mensen officetaken in hun browser konden doen. Safari in iOS is ook beperkt en je kan geen echte andere browser installeren. Als de browser echter veel beter wordt kan dat ten koste gaan van apps in de store.

PizzaMan79 @Verwijderd • 7 mei 2016 23:24

Interessant. Maar tegen de tijd dat het gebruikers gaat irriteren kan Apple toch gewoon alsnog aan webkit gaan trekken?

Verwijderd @PizzaMan79 • 8 mei 2016 09:51

Laten we hopen dat Apple daar meer software engineers op zal zetten. Dat zou een goede actie zijn.

Superstoned @cmegens • 6 mei 2016 23:30

Ze hebben Webkit niet open source gemaakt - als dat zo was hadden ze nooit de lgpl gebruikt, Apple is totaal geen fan van de gpl. Webkit was een fork van KHTML, de Browser engine van konqueror, de Browser van de KDE Linux Desktop omgeving. En die was natuurlijk lgpl dus ze moesten het wel open houden..

[Reactie gewijzigd door Superstoned op 22 juli 2024 13:49]

MenN @Nas T • 6 mei 2016 11:14

Correctie, delen van flash waren opensource. Het swf, flv, f4v formaat zijn alle vrijgegeven in het openscreen project van adobe.

Ook zijn er gratis opensource tools te vinden om flash content mee te maken zoals een FlashDevelop.

De flash player en Flash Professional IDE zijn dus closed source van Adobe.

4Lph4Num3r1c @MenN • 6 mei 2016 14:26

Ja maar dat is ook pas later gebeurd, toen duidelijk werd dat ze de strijd wel eens konden gaan verliezen.

Overigens vind ik de titel vrij hard, persoonlijke vind ik Java nog een gradatie erger...

Ik kom vaker machines tegen vol malware omdat er ook Java op stond, terwijl dat op systemen met Flash zelden het geval is. (Kom bijna geen systemen tegen waar het niet op staat. En de meesten zijn allemaal in orde).

leroydev @4Lph4Num3r1c • 6 mei 2016 20:18

De titel is niet "hard", als je kijkt naar de statistieken gegeven door de NTT Group in het stuk "Kritieke kwetsbaarheden", is het gewoon een feit dat Flash de meeste beveiligingsgaten heeft.

[Reactie gewijzigd door leroydev op 22 juli 2024 13:49]

4Lph4Num3r1c @leroydev • 7 mei 2016 11:47

Ja maar de meeste beveiligingsgaten wil toch nog niet zeggen dat daar ook het meeste misbruik van gemaakt wordt?

kidde @Nas T • 6 mei 2016 13:50

Een ander kritiekpunt, helaas (vziw) niet genoemd in het artikel, en vziw ook nooit opgelost, zijn de hardnekkige LSO "cookie achtige" trackers, je kon cookies verwijderen wat je wilde maar via LSO kon men je toch volgen en nog meer (100kB) data over je opslaan. Alleen via internet was dat dan te wijzigen.

http://www.ghacks.net/2007/05/04/flash-cookies-explained/

Verwijderd 6 mei 2016 06:32

Mooi en uitgebreid artikel, met een duidelijk mening.
Ik moest glimlachen toen ik las : Flash werd bovendien geregeld ingezet voor het ontwerpen van websites, met bewegende menu's en talrijke animaties tot gevolg. In de meeste gevallen kwam dat de gebruiksvriendelijkheid van websites echter niet ten goede.
Voor mij kan de kritiek op Flash niet sterk genoeg zijn. Ik ben van mening dat we achterlopen met de beveiliging, dus een stap terug qua mogelijkheden voor een veiliger internet lijkt me de enige juiste keuze.

redecal @Verwijderd • 6 mei 2016 09:11

tsja, je moet het in de tijdsgeest zien: ik werkte voorheen voor een platenmaatschappij en flash was destijds een ideaal platform om snel een goedwerkende interactieve website in elkaar te zetten incl audio, video en andere interactieve delen. voordelen waren dat je zowel cross-platform als cross browser was (ie hacks nodig, ie onder osx anyone???) en omdat (bijna) iedereen wel flash had geinstalleerd, had je ook niet dat gezeik met missende plugins. daarnaast hebben we flash ook nog gebruikt op cd's en cd-singles die als hybrids extra interactieve content konden weergeven op je pc of mac. zelfs met krascodes gewerkt om de cd's te registreren. good old times, maar zwaar ingehaald door de techniek.

vergelijk het voor mijn part met cassettebandjes: in die tijd perfect om lp's op te nemen en te luisteren in je walkman, mooie nostalgie, maar je wil t nu echt niet meer serieus gebruiken ;-)

Guru Evi @redecal • 7 mei 2016 00:57

Zelfs in die tijd heb ik altijd mijn klanten aangeraden om geen Flash of geanimeerde sites te maken. We kwamen juist uit de "blink" en "marquee" tijd om dan het nog gekker en zwaarder te maken met 100 of 200kb aan Flash (veel mensen hadden nog 56k modems, dat was soms 5-10s laden). En elke paar jaren waren de oude animaties niet meer goed voor nieuwere Flash Player.

Ik vraag me echt af wie Flash toentertijd nog gemakkelijk vond, het was gesloten, het werkte niet overal en verschillende versies hadden altijd verschillende resultaten. Zelfs de programmeertaal (ActionScript) heeft veel verandering gezien en ik werkte op dat moment aan een open source RTMP systeem waar Flash dan weer niet compatibel met hun eigen 'standaard' was.

Verwijderd @Guru Evi • 7 mei 2016 07:28

Helemaal mee eens!

Ik nam ook regelmatig stelling tegen die ellendige zwaar geanimeerde websites. Had ook het idee dat die met name in elkaar werden gezet door mensen die uit de traditionele media kwamen en niet echt in Internet termen dachten.

Nog erger vond ik het op Flash gebaseerde Flex framework. Wat heb ik me daar hard tegen verzet binnen mijn bedrijf. Gesloten technologien zijn gewoon niet goed voor het Internet.

(Ja ook flex is nu opensource, lijkt een standaard knieval te worden)

11supplier @redecal • 6 mei 2016 09:53

Helemaal mee eens. Vooral als je het ziet in de context van de tijd. In de periode van IE 6 was het een enorme uitdaging om sites cross platform te maken. Dit gold al helemaal (en nog steeds wel toen ik met HTML5 experimenteerde) als je media wilt implementeren.

BeosBeing @redecal • 6 mei 2016 18:16

vergelijk het voor mijn part met cassettebandjes: in die tijd perfect om lp's op te nemen en te luisteren in je walkman, mooie nostalgie, maar je wil t nu echt niet meer serieus gebruiken ;-)

Ik heb ze nog, die cassettebandjes maar gebruiken, nee. Alle afspeelapparatuur is inmiddels gesneuveld op mijn Aiwa 'walkman' na. Veel heb ik naderhand op CD gekocht maar ook die luister ik vanwege gebrek aan tijd zelden nog, enkel in de auto.

Maar die cassettebandjes waren qwa geluid minder als hun voorganger maar voor de massa goed genoeg en bovendien makkelijker in gebruik en daarom een succes. Ook over CD versus LP zijn hele discussies gevoerd welke het beste was [small](op goede apparatuur en dan had je het met platenspelers over prijzen van ƒ12000,-)[/small] maar volgens mj won de CD uiteindelijk op gebruiksgemak icm goedkope appaaratuur. Ook daarna verloren de beter klinkende DCC en minidisc, en van MP3 omwille van gebruiksgemak. Nu LP terug in opkomst is bij liefhebbers die deze verkiezen omwille van bepaalde eigenschappen verliest CD het ook op gebruiksgemak van MP3 en de nieuwere formaten als ogg, flac, aac enzovoorts. Uiteraard zal er altijd een groep liefhebbers blijven, ook van de CD maar bij de mainstream is het passé.

Flash gaat diezelfde richting op, net als oude videogames en zoveel andere dingen. Liefhebbers zullen er altijd wel voor te vinden zijn, maar mainstream houd het op te bestaan.

Verwijderd @Verwijderd • 6 mei 2016 07:57

Ben je dan net zo kritisch op alle andere webtechnieken? Het is niet dat alleen onveilig is. Beveiliging is op vele fronten nog het ondergeschoven kindje. "oh, ik gebruik geen Flash dus is het veilig."

invic @Verwijderd • 6 mei 2016 19:30

Mee eens, de volgende target voor kwaadwillenden is html5. Immers als een os of technologie heel populair wordt dan is de kans groot dat malware hiervoor zal worden geschreven...

Zodiac @Verwijderd • 6 mei 2016 11:19

Yup, zal fijn zijn wanneer sites geen gebruik meer maken van Flash. Daarentegen zie je wél weer een andere vorm van massavertraging opduiken - de website-pakketten, of hoe je het ook wilt noemen. De Drupals en WordPresses en alle andere. Ze bieden alles wat een website nodig heeft, maar ook dus alles wat je website niet nodig heeft... En het is zo makkelijk! En handig! Net zoals Java! Oh... Wacht...

Justin_ @Zodiac • 7 mei 2016 00:08

Wordpress is voor de server intensiever maar i.p. voor de gebruiker niet

RagingPenguin @Justin_ • 7 mei 2016 13:15

Maar als gebruiker mag je wel weer wachten totdat de server klaar is. Dus die merkt er wel wat van.

Verwijderd @Verwijderd • 6 mei 2016 06:57

Vooral animaties en waarin designers heel erg creatief konden zijn was vaak de doorslag van het maken van een flash website. Persoonlijk vond ik flash ruk om mee te werken. Het was onleesbaar voor de zoekmachine (Die kon de daadwerkelijke inhoud niet aflezen, en nog steeds niet) en moest je het hebben van de Meta om het begrijpbaar te krijgen voor de buitenwereld.

Moet altijd wel een beetje lachen bij Loi cursus flash ontwerpen waarbij het hier gaat om een opleiding voor een standaard dat uitgestorven is. HTML5+ pakt steeds meer en meer functionaliteit over waardoor gebruik van flash straks helemaal verdwenen is (gelukkig).

hcQd 6 mei 2016 07:26

Een voorbeeld in Nederland zijn de NPO-websites. Wil je iets terugkijken op Uitzending Gemist, dan heb je Flash Player nodig.

Het idiote is dat, als je op een mobiel apparaat kijkt, blijkt dat de NPO wel degelijk HTML5 voor de video's ondersteunt.

dormamu @hcQd • 6 mei 2016 07:45

Klopt dat? Tot voor kort waren de NPO's juist Silverlight. Ik weet nog dat ik NPO vervloekte omdat ik hierdoor geen live streams kon kijken op Ubuntu. Maar heel eerlijk dat was wel een paar jaar geleden.

arjan1995 @dormamu • 6 mei 2016 23:06

Nog erger: Ziggo Horizon TV (http://horizon.tv) vereist vandaag nog altijd Silverlight. Er komt zelfs een melding waarin staat dat het helaas niet meer in Chrome en Edge kan en of je maar Internet Explorer (kuch) of Firefox wilt gebruiken om TV te kijken.

Goede nieuws is, dat als het waar is, dat ze volgens dit bericht ook bezig zijn om het uit te faseren en dan werkt het wel in elke browser...

hcQd @dormamu • 6 mei 2016 07:54

Live streams en uitzending gemist werken gewoon via de browser op een android tablet. Mogelijk dat er binnen de sites van de NPO nog wel wat te vinden is dat per se flash of silverlight wil hebben maar daar ga ik niet naar zoeken.

sanderv @hcQd • 6 mei 2016 09:52

Galaxy S5: "Installeer een recente versie van Adobe Flashplayer".

DJMaze @hcQd • 6 mei 2016 13:28

Er is een user-agent sniffer actief (en niet alleen op de NPO).
Als ik de user-agent aanpas in Firefox dan werken (bijna) alle filmpjes in HTML5.
Hiervoor gebruik ik

Mozilla/5.0 (Linux; Android 4.4.2; Nexus 5 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.114 Mobile Safari/537.36

Basszje @DJMaze • 6 mei 2016 15:25

Volgens mij niet alleen een user agent sniffer maar is het ook afhankelijk uit welke periode de video komt en van welke omroep. Ik merk in elk geval per omroep een verschil ( VPRO doet het al langer in HTML5 dan veel anderen geloof ik ). De reden is dat niet alle streams zijn opgeslagen in alle formaten en ze hebben ook geen manier vooralsnog om dat automatisch te converteren.

Blackbird-ce @hcQd • 7 mei 2016 23:06

Misschien ook goed voor het artikel: volgens mij was de NPO van plan de verkoopster onder handen te nemen. Onlangs is er een vooraankondiging geplaatst voor een tender om het complete VOD platform te vernieuwen (zie Tenderned)

ymmv 6 mei 2016 10:28

Jobbs wilde zogenaamd geen Flash op Apple-devices omdat het traag en buggy was, maar de echte reden was omdat je met Flash apps kon maken die in een browser draaiden waardoor je geen aparte iOS-apps zou hoeven te kopen. Flash was in zijn ogen vooral concurrentie.

Apple wilde een monopolie vestigen en de term 'multi-platform' (wat Flash was) paste daar niet in. Denk ook aan de pogingen die Apple deed om cross compilers die van Flash binarie iOS-apps maakte te verbieden door de licentievoorwaarden voor hun SDKs aan te passen.

Verwijderd @ymmv • 6 mei 2016 11:01

In de biografie staat ook nog een andere rede. Jobs heeft geholpen met de oprichting van Adobe. Op een gegeven moment wou hij dan ook Software voor de Mac. Adobe zij toen heel simpel nee. Jobs was daar alles behalve blij mee. Sinds toen moest hij Adobe ook niet meer. Apple heeft niet voor niks eigen video, audio en foto bewerkings en creatie software gemaakt. Dit was voor Jobs namelijk nog een rede om een zo geïntegreerd mogelijk pakket te maken als Apple zijnde.

In het begin mocht als ontwikkelaar ook geen compiler voor iOS maken om je software bijvoorbeeld in Flash te schrijven. Dit mocht pas later.
Bron: De officiële biografie

mashell @Verwijderd • 6 mei 2016 14:05

Jobs heeft geholpen met de oprichting van Adobe. Op een gegeven moment wou hij dan ook Software voor de Mac.

Maar die software was er wel geweest. Adobe is zelfs heel groot geweest op Mac. De reden dat heel de grafische industrie op Apple werkte was vooral de Adobe software. Dat de keus van Adobe voor Windows als hoofdplatform en de introductie van de iPad zonder Flash ongeveer tegelijkertijd waren, dat was echt toeval... of toch niet?

77slevin @mashell • 6 mei 2016 14:57

Geen toeval en SvenvNL vergeet iets belangerijks: net voor het debacle met Flash verkoos Adobe om hun grafische software eerst voor Windows uit te brengen, nog voor de OSX versies. Dat wekte de toorn bij Jobs, hij vond ze ondankbaar gezien de hulp die ze kregen als beginnend bedrijf.

[Reactie gewijzigd door 77slevin op 22 juli 2024 13:49]

Wim-Bart @TMC • 7 mei 2016 20:34

Biografie van Jobs zegt genoeg en bovendien was Jobs een zeer rancuneuze man. Maar het werkt ook de andere kant op, want Jobs was ook niet vergeten dat Microsoft Apple in leven had gehouden.

TMC @Wim-Bart • 7 mei 2016 23:28

Ik heb de biografie gelezen en daar staat niet in dat rancune de reden was om geen Flash te ondersteunen.

cmegens @ymmv • 6 mei 2016 18:22

Niet helemaal waar natuurlijk. Toen de eerste iPhone uitkwam in 2007 was er nog geen app store. Apple en Jobs hadden ingezet op web apps, zodat het vrij makkelijk zou zijn om applicaties te schrijven voor de iPhone. Dit is echter nooit echt gelukt en door de jailbreak scene kwam Apple er al snel achter dat mensen native apps wilden.

An sich had Flash natuurlijk prima gepast binnen die visie van apple, het gebruiken van web-apps. Echter was Flash toen gewoon echt te zwaar voor zo'n kleine processer. Ik heb destijds nog wel een flash implementatie geïnstalleerd uit Cydia op de eerste iPhone en dat was gewoon echt niet te doen.

Apple heeft dus bewust een keuze gemaakt om alleen open standaarden te ondersteunen, omdat zij ook in zagen dat HTML5 en CSS3 veel toegankelijker en minder resources nodig gingen hebben. Tuurlijk speelt daar ook nog de politiek in silicon valley een rol.

Achteraf zijn er een aantal momenten geweest dat ik in de afgelopen jaar flash heb gemist op de iPhone en iPad, maar dat is de laatste jaren al niet meer voorgekomen. Ook op de desktop heb ik geen flash player meer.

MenN @cmegens • 6 mei 2016 19:31

Denk je nu echt dat de appstore echt in een jaar verzonnen is? Ik durf je te verzekeren dat die plannen al lang en breed klaar waren toen de eerste iPhone uitkwam.

Het was gewoon een kwestie van pacing. Mensen moesten uberhaupt al wennen aan het idee touchscreen smartphone. Het hele app gebeuren wilden ze gewoon wat later introduceren om het zo duidelijker te maken.

cmegens @MenN • 6 mei 2016 21:10

Nee dat zeg ik toch ook niet? Ik denk alleen dat de appstore verzonnen was als 1 van de opties. Deze is dus meteen verder ontwikkeld toen de eerste optie niet voldoende bleek. Ja, dat vergt een enorme flexibiliteit en vooruitplanning van Apple, maar als je kijkt hoe lang ze bezig zijn geweest met de ontwikkeling van de iPhone en de breedte van opties die ze bekeken hebben is dat geen ondenkbare gedachte.

En om dan even off topic te gaan: we gaan met de watch zien of apple nog steeds zo flexibel en breed orienterend is. De watch heeft zeker een major overhaul nodig, maar de vraag is of ze dat nog een keer kunnen. (en ja, ook of ze dat kunnen zonder Jobs)

mashell @MenN • 7 mei 2016 22:28

Dat app gebeuren was er al jaren. Bijvoorbeeld apps voor de Palm PDS's (ik heb hiervoor ooit nog Citymaps van de firma Palmtop (nu TomTom) gekocht). Repositories bekend van linux waren er ook al jaren. Wat Apple wel uitgevonden heeft, en wat eigenlijk bijzonder knap is, is dat ze aan mensen een stervensdure smartphone verkochten en die mensen ook nog eens zo gek kregen om voor extra apps te gaan betalen.

MenN @ymmv • 6 mei 2016 11:23

Inderdaad, de App Store moest groeien en dus wilde Apple niet dat iedereen fijn naar newgrounds(of een van de miljoen andere spelletjes portals) ging om een simpel spelletje te spelen. Want daar is geen geld mee te verdienen.

Verwijderd @ymmv • 6 mei 2016 11:28

Dit is simpelweg misinformatie. Jobs was juist een voorstander van web apps destijds en moest zelfs intern overgehaald worden om uberhaupt met 3rd party native apps in zee te gaan.

edwinjm @ymmv • 6 mei 2016 23:01

Een aantal jaar geleden sprak ik iemand van Adobe en die vertelde dat ze echt hebben geprobeerd (Apple en Adobe samen) of Flash op de iPhone te laten draaien. Maar Flash bleef crashen, de accu leegzuigen en de performance bleef ook ondermaats, dat Jobs er op een gegeven moment geen heil meer in zag. Apple heeft het dus wel echt geprobeerd.

musback @ymmv • 6 mei 2016 22:13

Ik vermoed ook dat de iPad gewoon te weinig power had om de meeste flash sites en games vlot weer te geven. Dat ze zo niet door de mand wilden vallen en smiith browsing wilden garanderen.

Wim-Bart @musback • 7 mei 2016 20:35

De iPad was sterker dan menig PC van 2 jaar daarvoor, PC's welke alles met Flash konden.

TMC @ymmv • 7 mei 2016 18:00

Jobbs wilde zogenaamd geen Flash op Apple-devices omdat het traag en buggy was, maar de echte reden was omdat je met Flash apps kon maken die in een browser draaiden waardoor je geen aparte iOS-apps zou hoeven te kopen. Flash was in zijn ogen vooral concurrentie.

Hoe weet jij precies wat 'de echte reden' is?

Verwijderd 6 mei 2016 06:20

Er werd destijds in de introductie van Flash vooral veel gewerkt met zowel Flash als HTML compatible websites. Wie had ooit gedacht dat de opleidingen tot flash developer / ontwerper zo tot een einde zouden komen. Het heeft plaatsgemaakt voor o.a responsive HTML (Dus geen 2 versies meer van 1 websites) en dat wat gewoon op elk apparaat schalen moet.

Zou je je nu lullig voelen als je in een opleiding tot Flash ontwikkelaar hebt gevolgd met alle kosten vandien.

Flash was leuk voor z'n tijd, zeker in de MSN Messenger periode, maar het aantal exploits dat er voor beschikbaar was maakte het tegelijkertijd het meest verschrikkelijke product.

Verwijderd @Verwijderd • 6 mei 2016 07:52

Die kosten voor een opleiding heb je na 20, 15 of zelfs 10 en 5 jaar wel terug verdiend.
Kennis van Flash is ook elders inzetbaar.
Net zoals kennis van alle huidige webtechnieken dat ook zal zijn.
Veel webtechnieken die jonger zijn dan 20 jaar zijn al achterhaalt. Van wat nu modern is moet je ook nog maar afwachten wat over 20 jaar gebruikt wordt.
In de IT geldt dat je continu moet blijven bijleren. Als je dat goed doet is de bestede tijd zijn geld en tijd waard.

YangWenli @Verwijderd • 6 mei 2016 14:04

Wat ik heb geleerd is dat zo'n cursus ook een hele goede mogelijkheid is om te netwerken met anderen in je field. IMO is een cursus nooit voor niks, en vaak krijg je hem ook nog deels vergoed.

ElmarNieser @Verwijderd • 6 mei 2016 07:36

ActionScript 3 lijkt sprekend op JavaScript. Dus je hoeft je echt niet lullig te voelen als je een prof Flash dev bent imo

Ronnerd @ElmarNieser • 6 mei 2016 08:11

Eehmm, nee. AS3 en javascript zijn totaal verschillend.

elmuerte @Ronnerd • 6 mei 2016 08:52

Zo verschillend dat ze beide op ECMA Script gebaseerd zijn.

Ronnerd @elmuerte • 7 mei 2016 07:56

Dat is ongeveer net zo simpel als zeggen dat een trabant en een formule 1 bolide beide gebaseerd zijn op "automobiel". Het verschil zit em niet zozeer in de syntax (alhoewel de strongly typing van as3 toch zeker tot andere constructs leid) maar in de manier hoe je met beide talen om moet gaan. Prototype VS inheritance. Compleet verschillende manier van programmeren. Het is veel te simpel om te zeggen "ze lijken sprekend op elkaar" met de intentie om te zeggen dat iemand die as3 kan zo, hup, aan de slag kan als javascript ontwikkelaar.

_Thanatos_ @elmuerte • 6 mei 2016 14:15

Oh dus volgens jou zijn java en javascript ook ongeveer hetzelfde?

Daarnaast is er niet zoiets als een "ecma script". Ecmascript (aan elkaar ja) is een standaardisatie van scripttalen zoals javascript en actionscript. Daardoor lijken ze syntactueel op elkaar, maar is dat zo verrassend als ze onder één hoede vallen?

[Reactie gewijzigd door _Thanatos_ op 22 juli 2024 13:49]

Verwijderd @_Thanatos_ • 6 mei 2016 21:21

Javascript == Ecmascript. In een browser en in Node zijn hosted api's toegevoegd, deze staan los van Javascript.

Actionscript is op Ecmascript gebaseerd met toevoegingen van Adobe. Daarnaast heeft deze ook weer hosted apis van Flash.

_Thanatos_ @Verwijderd • 7 mei 2016 03:05

Dat is wel heel erg in een notendop. C# is bijv ook door Ecma gestandaardiseerd, dus het ligt allemaal wat ingewikkelder dan "ecmascript == javascript".

Verwijderd @_Thanatos_ • 7 mei 2016 08:27

Ecma is een standaard organisatie. Ecmascript is 1 ding. C# is weer iets anders dat gestandaardiseerd is, niet onder ecmascript.

kikker81 @elmuerte • 6 mei 2016 09:18

Heb je wel eens met beide serieus gewerkt?

Verwijderd 6 mei 2016 07:27

"Apple was het eerste grote bedrijf dat openlijk de oorlog verklaarde aan Adobe Flash, door de techniek niet te ondersteunen op zijn iPhone en iPad."

Uitstekende zet geweest!
Daarmee is de ontwikkeling (en feitelijke implementatie) van) HTML5 waarschijnlijk in een stroomversnelling gekomen.

Kura @Verwijderd • 6 mei 2016 10:17

Het was verschrikkelijk op OSX, m'n Mac stond volop te blazen, vol cpu gebruik bij een standaard 480p flash filmpje op Youtube terwijl hij destijds 1080p bestanden zonder moeite en significant CPU gebruik afspeeelde. MIsschien ook een reden geweest van Steve Jobs.

BoringDay @Kura • 6 mei 2016 10:38

Dat is niet alleen bij OSX het geval dat was het ook al vanaf het begin bij Windows het geval.
Flash is nooit geschikt geweest, vanaf het begin waren er al klachten dat het te zwaar was.

djneo-nl @Verwijderd • 6 mei 2016 10:03

Was ook wel te begrijpen, want flash was die tijd vreselijk instabiel op OSX

CMD-Snake 6 mei 2016 06:27

De gevaarlijkste plugin van het internet? Ik dacht dat die titel nog altijd gereserveerd was voor de Java plugin. Dat ding is ook altijd zo lek als een mandje. Bij praktisch elke nieuwe release is al van te voren duidelijk welke grote exploits deze versie bevat.

FireDrunk

@CMD-Snake • 6 mei 2016 08:17

Volgens mij is dat Java zelf, niet de Java Web Plugin. En Java Webstart is dus niet hetzelfde als de native Java Browser Plugin (die ondertussen EOL is.)

Iblies @CMD-Snake • 6 mei 2016 12:06

Meest gevaarlijk is ook maar een perceptie.

Het is (was) ook de meest gebruikte, en op het moment dat er een fout ontdekt is de kans ook een stuk groter dat er massaal misbruik van wordt gemaakt.

De titel had ook kunnen zijn,

Miljarden smartphones-gebruikers moeten hun toestel niet meer gebruiken

Het is een gegeven dat heel veel Android-gebruikers hun toestel om wat voor reden niet kunnen updaten en vastzitten aan versie 4.

harrytasker 6 mei 2016 07:34

Inderdaad zo lek als een mandje, maar zelf nooit problemen gehad met een virus of iets dergelijks vanwege Flash. Dus ik vraag me af hoe groot de problemen altijd zijn geweest als je een goede virusscanner of malwarescanner had.

blorf @harrytasker • 6 mei 2016 09:59

Al jaren gebruik ik Flash op FreeBSD dmv de Netscape-plugin-rip methode. Het is een enkel binary bestand dat niet de permissies heeft om gekke dingen uit te halen zoals communiceren naar vreemde adressen buiten of met andere processen. Geen enkel probleem mee. CPU vreten doet het wel maar sinds we meerdere cores hebben is dat probleem veel kleiner geworden. Ik heb het idee dat de manier waarop het ding zichzelf forkt nogal amateuristisch is. Binnen no-time heb je een stuk of 10 forks die allemaal 250MB per stuk nodig hebben.

Eigenlijk geen idee hoe dat in Windows gaat qua permissies maar daar alleen de browser-plugin voor verantwoordelijk houden lijkt me onzin. De browser en het OS moeten actief hebben meegewerkt aan het in stand houden van de risico's. Sowieso is een browser-plugin technisch geen programma en kan zelf dus niets uitvreten. Daar is een doelbewust aangelegd kanaal voor nodig van de plugin naar de browser naar het OS, met genoeg permissies om de boel te kunnen laten verzieken door online content.

[Reactie gewijzigd door blorf op 22 juli 2024 13:49]

AlphaWierie 6 mei 2016 09:48

Leuk stuk! Ik kan nog herinneren. Dat een selling point van de Galaxy tab 1 juist was dat ze flash ondersteunen. Het logo werd ook duidelijk getoond in de reclame, verpakking e.d. echter werkte het voor geen meter en werd het snel weer eruit gesloopt.
Goed stukje toekomst kijken van Jobs toen der tijd.

[Reactie gewijzigd door AlphaWierie op 22 juli 2024 13:49]

Tha_Butcha @AlphaWierie • 6 mei 2016 09:57

Dat had niks te maken met toekomst kijken, maar met rancune: Jobs had gevraagd aan Adobe of ze alvast een specifieke OS X versie (van hun Adobe Suite, that is) wilden maken, zodat deze vanaf de launch kon worden gepushed (immers een OS is afhankelijk van de beschikbare locaties). Adobe vond dat niet nodig en dus boorde Jobs Flash de grond in.

Iets soortgelijks heeft ie gedaan met John Wiley & Sons: nadat ze een 'ongeautoriseerde' bio uitbrachten over hem, werden al hun boeken uit de Apple stores gehouden.

[Reactie gewijzigd door Tha_Butcha op 22 juli 2024 13:49]

TMC @Tha_Butcha • 7 mei 2016 18:08

Dus volgens jou was het puur rancune en heeft Steve Jobs er later maar argumenten bij verzonnen om zijn rancune te onderbouwen o.i.d.?

Ik snap niet waarom zoveel mensen hier alle inhoudelijke argumenten die Apple destijds aanvoerde van tafel gooien en zonder blikken of blozen zeggen dat het enkel persoonlijke rancune was. Waar baseer je dat in hemelsnaam op?

Tha_Butcha @TMC • 7 mei 2016 19:39

Je hoort mij niet zeggen dat die argumenten niet valide zijn/waren. Het punt was dat de directe aanleiding daarvoor rancune was, dat je daar later (al dan niet valide) redenen gebruikt om het te beargumenteren, staat daar los van.

Iets wat politiek en grote bedrijven niet vreemd is en zeker Jobs niet.

TMC @Tha_Butcha • 7 mei 2016 19:55

Nogmaals, waar baseer je dat allemaal op?

Op dit item kan niet meer gereageerd worden.

Twintig jaar Flash