FlexBroswer,一劳永逸解决业务系统Flash问题
引言
大连车务段Flash生产系统事故的文章近期在业内引起了大范围的传播,公众号原文于发布后的第二天就删除了。各路段子手一拥而上,变着花样的嘲讽,诸如“不可思议,怎么会这样的低级错误”、“降级使用Flash”等论调层出不穷。
所谓“站着说话不腰疼”,“低级错误”和“技术过时”的错误在IT大厂也免不了的。不过事后诸葛亮总是容易的,真正重要的不是去指责“低级错误”,而是能从中吸取教训,避免再犯同样的错误。。
关键字:Adobe、Adobe Flash、Flash、Flex、FlexBroswer、Flash停止更新、Flash不可用
一、背景
2019年,美国空军停止在核武器发射系统中使用8英寸软盘传递指令,这是诞生于上世纪70年代的技术,在重要的生产系统中使用了近半个世纪。
2021年1月13日美国Adobe公司发布公告,停止Flash引擎更新支持。公告同时指出“为避免由于Flash停更而出现安全漏洞,出于安全考虑,继续强烈建议所有用户立即卸载浏览器插件”,Chrome、Safari、IE、Edge、Firefox、360等主流浏览器,同时禁止Flash运行。对于 1996 年由 Macromedia 首次推出、2005 年被 Adobe 收购的 Flash 来说,这 1/4个世纪 的Flash时代正式结束。
二、技术原理
国内大中型企业多年前完成开发并持续使用至今的有关应用系统,大量存在依赖、使用了Flash技术进行数据交换和展现,将可能由于安全原因不再能够通过Chrome、 IE、Firefox Mozilla、360等主流浏览器操作。
根据Adobe公司2019年的公告,为避免可能的安全漏洞,着眼确保原有遗留应用系统的持续稳定安全运行,我公司着手组织研制开发了FlexBrowser浏览器。该浏览器基于谷歌Chromium内核,封装了Adobe公司的Flash技术家族中的实现数据交换、浏览的Flex引擎,实现了应用级的安全策略。
三、FlexBroswer产品介绍
FlexBrowser产品由客户端(FlexClient)和相应的服务器(FlexServer)端组成,其中FlexServer部署在指定应用相同的WEB容器中;FlexClient由客户机下载安装运行。
3.1 封装
FlexClient基于谷歌Chromium基础内核完成自主封装,仅封装了JavaScript引擎、CSS解释器、HTML渲染器、Flex引擎等基础组件,禁用了浏览器插件和扩展接口。
其中Flex引擎是Adobe公司Flash技术家族中实现数据交换、浏览的基础组件,封装过程中仅配置保留Flex序列化数据解析等基础功能,禁用了客户端本机程序调用等可能存在安全风险的其它Flex扩展功能。
3.2 注册
实施时配置指定应用的资源列表,包含该应用全部合法资源文件路径、名称,其中还对脚本函数文件、样式表文件、静态HTML文件等高危资源生成MD5特征码,确保发布后不可篡改。
更新指定应用时,FlexServer重新扫描生成高危资源MD5特征码。FlexServe将根据资源列表定时扫描、比对高危资源的MD5特征码,若发生不正常篡改,则更名后迁移该资源到不可请求操作的保护目录。
FlexClient启动时,从FlexServer获取合法资源列表,供客户端进行操作合法检查。
3.3 请求
FlexCliet请求前,先行与启动时从FlexServer中获取的资源列表进行查找比对,在合法资源列表内才放行请求。
3.4 更新
FlexCliet每次启动前均通过FlexServer进行版本检查,出现FlexCliet更新版本时,在线自动完成FlexCliet更新,确保每客户端无须手动更新。
检查更新的同时,根据FlexServer中保留的每版本FlexClient中每文件的MD5特征码,比对现在用客户端FlexCliet每文件的MD5特征码,确保每客户端无法篡改FlexCliet。
四、应用级的安全策略
通过 FlexBrowser 实现的安全注册机制,只能够运行指定应用和其中指定的脚本、样式表等服务器端资源,不允许操作任何外部资源、不允许操作任何客户机本地资源,只能够与指定的服务器交换数据、只能够展现服务器端返回的序列化数据,确保Flex引擎在绝对安全的环境中运行。
五、安全、兼容、稳定、持续、高效
Flash 逐渐走出历史舞台。
安全、兼容、稳定、持续、高效的FlexBroswer产品已经到来。
为了支持企业特有的应用系统、用户习惯,赛锐信息提供的FlexBroswer产品可以有效助力企业IT系统解决因Flash停止支持导致不可用问题。
赛锐信息在企业级应用开发方面的丰富经验,欢迎企业在需要时随时联系我们,以获得我们的支持服务。
六、SAP 软件资产及License优化治理
SAP 用户权限管理系统(AMS-V 安全网关)产品是应用于SAP系统权限风险控制及注册用户账号管理为目标的SAP软件资产精益化管理方案。
SAP 用户权限管理系统使用SAP GUI标准访问协议,在线实时管理用户账号操作,精益化管理SAP license 账号资源;在不改变用户操作习惯的同时,实现账号高效优化、权限的实时动态分配、日志的记录追溯,极大的降低SAP系统的使用成本、提高SAP系统软件资产的使用效率,并能有效控制系统权限管理风险和系统审计风险。
赛锐信息:提供全方位SAP ERP智能云解决方案
河南赛锐信息科技有限公司(简称“赛锐信息”)是SAP中国优秀合作伙伴,华南地区核心合作伙伴,拥有 S/4 HANA、SAP Business ByDesign、SAP Business One、SAP C/4 HANA、SAP SuccessFactors、SAP Business Objects 等全线完整的云计算产品系统咨询服务及专业实践经验, 并提供IT规划、业务流程优化、信息系统实施、行业信息系统方案开发,运营外包及售后维护等全面的服务方案。
在电子高科技、装备制造、能源化工、汽车零部件、医疗器械、快消零售、跨境电商、专业服务等行业信息化管理领域,都有着丰富的客户基础,至今已为500+企业提供了专业的技术支持和解决方案。