Tra i plugin per il browser che vengono più frequentemente sfruttati da parte di malintenzionati per eseguire codice dannoso in modalità remota c’è sicuramente Flash Player.
Flash Player non è di per sé pericoloso. L’ultima versione del plugin è al momento esente da qualunque problema di sicurezza conosciuto.
Ciò significa che l’eventuale esecuzione di codice nocivo sul sistema dell’utente potrebbe verificarsi soltanto utilizzando versioni datate del plugin.
Nel corso del tempo, comunque, alcune vulnerabilità che non venute alla luce sui canali pubblici sono state utilizzate per provocare l’esecuzione di codice dannoso sui sistemi di enti ed aziende di elevato profilo (vedere, ad esempio, l’articolo Proteggersi dalle vulnerabilità usate da Hacking Team).
Da più parti si è cominciato a consigliare agli utenti di disinstallare Flash Player perché ormai superfluo e ad Adobe di fissarne una data per il definitivo ritiro: Facebook: Adobe deve abbandonare Flash Player.
Ciò che permettono di fare plugin come Flash Player e Silverlight è già possibile con HTML5, senza quindi installare alcun componente aggiuntivo nel browser.
Per verificare se si stesse o meno utilizzando Flash Player con il proprio browser web preferito, basta visitare questa pagina.
Nella parte superiore della pagina viene esposto il messaggio You have version (…) installed” allorquando il browser avesse precedentemente caricato e stesse utilizzando una qualunque versione di Flash Player. Viceversa, in caso di assenza (o disattivazione) del plugin non apparirebbe alcun messaggio.
Lo specchietto sottostante, pubblicato nella pagina di Adobe, indica le versioni più aggiornate di Flash Player destinate a ciascun browser web.
Vale la pena ricordare che scaricare Flash Player manualmente è necessario solo con Internet Explorer (versioni integrate in Windows 7 e precedenti) e Firefox.
Le versioni di Internet Explorer usate in Windows 8, Windows 8.1, Windows 10; Edge in Windows 10 e Chrome su qualunque sistema operativo utilizzano una versione integrata di Flash Player che viene caricata di default e si aggiorna insieme con il browser web.
Da parte nostra consigliamo di utilizzare browser che integrano in modo predefinito Flash Player. In questo modo non si sarà costretti ad aggiornare manualmente il plugin di Adobe e si avrà la certezza di usare sempre la più recente e sicura versione (a patto di aver cura dell’aggiornamento periodico del browser).
Chrome in questo senso è il browser che meglio si comporta perché l’aggiornamento di Flash Player viene solitamente distribuito a distanza di poco tempo (spesso poche ore) dalla scoperta di nuove vulnerabilità.
Google, inoltre, ha recentemente deciso per un approccio piuttosto “draconiano”:
1) Chrome non supporta più i plugin NPAPI (Netscape Plugin Application Programming Interface) quindi, anche nel caso di Flash Player, gli utenti potranno usare sempre e solo la versione PPAPI (Pepper Plugin API) integrata nel browser.
2) Chrome ha recentemente attivato un click-to-play parziale anche per quanto riguarda i contenuti Flash eventualmente presenti nelle pagine web.
Spieghiamo entrambi i punti.
NPAPI è l’architettura sulla quale si sono basati i plugin per il browser web fin dai tempi di Netscape 2.0, eccezion fatta per gli ActiveX di Microsoft (ora completamente disconosciuti con il rilascio di Edge in Windows 10, il browser successore dello storico Internet Explorer).
Il pensionamento dei vecchi plugin NPAPI è divenuto definitivo con il rilascio della versione finale di Chrome 45: ciò significa che plugin come Java e Silverlight non sono più compatibili con Chrome e non possono essere eseguiti neppure in Edge di Windows 10 (che ancora non supporta estensioni e plugin).
Con la scelta di permettere esclusivamente l’uso dei plugin PPAPI, Google ha voluto rendere Chrome ancor più sicuro facendo sì che questi componenti aggiuntivi vengano caricati ed eseguiti in un processo separato dal browser stesso.
Disinstallare Flash Player?
Qual è, allora, il consiglio migliore? Il suggerimento secondo noi migliore consiste nel disinstallare Flash Player dalla finestra Programmi e funzionalità di Windows, indipendentemente dalla versione del sistema operativo che si sta utilizzando.
A disinstallazione completata, accedendo alla cartella %systemroot%\System32\Macromed\Flash
(generalmente è C:\Windows\System32\Macromed\Flash
) – che tra l’altro può essere rimossa usando i diritti di amministratore -, Flash Player non dovrebbe risultare più presente sul sistema.
Consigliamo invece di adoperare eventualmente un browser che integri di default Flash Player e che quindi provveda ad aggiornarlo ad ogni update.
In questo senso Chrome appare un’ottima scelta perché non soltanto provvede all’aggiornamento automatico di Flash Player ogni volta che esce una nuova release del browser (verificare sempre, digitando chrome://chrome
nella barra degli indirizzi, che Chrome sia aggiornato) ma anche perché ha da qualche tempo abilitato il click-to-play anche nel caso di Flash Player.
Veniamo quindi al secondo punto indicato in precedenza: che cos’è il click-to-play e come abilitarlo?
Flash Player e click-to-play
Iniziamo con Google Chrome. Da qualche tempo a questa parte, accedendo alle impostazioni del browser e digitando Contenuti nella casella di ricerca, apparirà – tra le varie voci – anche il pulsante Impostazione contenuti.
Cliccandolo e scorrendo la successiva schermata, si dovrà individuare la sezione Plugin. Per impostazione predefinita, risulterà selezionata l’opzione Rileva ed esegui importanti contenuti plug-in.
Ciò significa che Chrome non caricherà automaticamente il contenuto gestibile con i vari plugin (Flash Player compreso) ma deciderà di volta in volta solo quali siano strettamente necessari per la corretta visualizzazione della pagina.
Scegliendo l’opzione successiva (Fammi scegliere quando eseguire i contenuti dei plugin), sarà l’utente a poter decidere quando caricare il contenuto mediante il corrispondente plugin. Si tratta del cosiddetto click-to-play: servirà un clic per richiedere il caricamento di qualunque contenuto elaborato mediante l’utilizzo di plugin, Flash Player compreso.
Per attivare il click-to-play in Firefox, è sufficiente digitare about:addons
nella barra degli indirizzi, fare clic su Plugin nella colonna di sinistra quindi scegliere l’opzione Chiedi prima di attivare da ciascun menu a tendina.
Nel caso di Internet Explorer, l’opzione è piuttosto nascosta: dapprima è necessario accedere al menu che appare cliccando sul pulsante raffigurante l’icona dell’ingranaggio quindi scegliere Gestione componenti aggiuntivi.
Dal menu Mostra si dovrà selezionare Tutti i componenti aggiuntivi, individuare Shockwave Flash Object nel pannello di destra, selezionarlo, cliccarvi con il tasto destro del mouse quindi scegliere Maggiori informazioni.
Da qui bisognerà fare clic sul pulsante Rimuovi tutti i siti.
Nell’articolo Browser più sicuro, quali i passaggi da seguire abbiamo pubblicato una serie di suggerimenti per mettere in sicurezza qualunque browser.