Muchas extensiones de listas blancas de sitios web flash para Chrome (como flashblock y flashcontrol) usan javascript para bloquear de forma selectiva el funcionamiento de Adobe Flash. Por lo tanto, para obtener esta funcionalidad, tengo que habilitar javascript para el sitio, lo que resulta en un tipo diferente de posible vulnerabilidad de seguridad. Esto te obliga a elegir uno u otro. ¿Qué te preocuparía más en esta situación?
La respuesta es: sí . Siempre debes preocuparte por el software.
"La complejidad es el peor enemigo de secuirty "
--Bruce Schnieir
Dicho esto, incluso si su máquina está completamente parcheada, uno de los muchos días Flash de 0 días podría comprometer la máquina. XSS es explotable independientemente de si su equipo está parcheado. Esta falla generalmente se explota con JavaScript, pero también se puede explotar con Flash, por lo que tener cualquiera de ellos sería un problema. También es importante tener en cuenta que aproximadamente el 90% de los sitios web no funcionarán sin JavaScript, por lo que deshabilitarlo es muy problemático. Las vulnerabilidades CSRF basadas en GET se pueden explotar con HTML puro, por lo que incluso si Flash y JS están deshabilitados, aún puede ser hackeado.
Lo que haría: Use Firefox con NoScript . Incluso si JavaScript está habilitado globalmente, NoScript bloqueará la mayoría de los ataques CSRF y XSS. Instale un antivirus y mantenga la máquina actualizada.
Creo que, para bloquear ambos, no hay mejor solución que mantener el sistema, el motor flash y el antivirus actualizados. Flash y Javascript no son más peligrosos que cualquier otra aplicación en su computadora. Tenían bichos? Sí, fueron arreglados? Sí. Como su navegador, como su sistema operativo y como cada pieza de software. Con flash bloqueado. Debe saber que, por ejemplo, YouTube no funcionará como se esperaba. Si bloquea javascript, algunos otros sitios que dependen de, no funcionarán, y tal vez la experiencia de su esposa con internet no sea como ella espera.
En realidad, ninguno de estos es el problema de seguridad "más grande". DOM XSS es la mayor preocupación ya que no existe una prevención práctica real contra ella. Además, tratar de protegerse mediante la creación de una gran lista blanca de sitios causará más dolores de cabeza que no. La recomendación es tener una caja para la diversión y una caja para asuntos personales como la banca. O para explicar más acerca de la configuración de un entorno virtualizado y tener un sistema que haga todas las cosas peligrosas relacionadas con flash o javascript y el otro es donde puede realizar operaciones bancarias que no tengan habilitado flash o javascript.
La pregunta aquí es ¿quién crea un software más seguro? ¿Las personas que crean el navegador o Adobe?
Son prácticamente iguales, especialmente con todo lo relacionado con HTML 5. Por lo general, debe habilitar JavaScript para Flash, por lo que podría agregar Flash como un potencial para traer vectores de ataque adicionales.
Lea otras preguntas en las etiquetas web-browser javascript flash