Come rimuovere automaticamente la cronologia / la traccia della privacy di Flash? O impedire a Flash di memorizzarlo?

47

Molte persone hanno sentito parlare di cookie di terze parti e alcuni browser li bloccano anche per impostazione predefinita. Alcune persone potrebbero persino utilizzare le modalità di Navigazione privata. Tuttavia, solo pochi sembrano rendersi conto che Adobe Flash Player lascia anche una traccia cross-browser sul disco rigido locale e consente di inviare al server informazioni simili a cookie, inclusi siti di terze parti. E poiché si tratta di un plug-in, Flash non tiene conto delle impostazioni sulla privacy del browser.

Ci scusiamo per il lungo post, ma prima alcuni dettagli sul perché l'utilizzo di Flash solleva un problema di privacy, seguito dai risultati dei miei test:

  • Flash Player mantiene una cronologia cross-browser dei nomi di dominio dei siti Flash visitati dal computer. A differenza della cronologia del browser, questa cronologia non si limita a un determinato numero di giorni. La cronologia viene inoltre registrata durante l'utilizzo delle cosiddette modalità di navigazione privata. È memorizzato sul tuo disco rigido (anche se, come descritto di seguito, senza andare al sito di Adobe non saprai cosa è memorizzato).
  • Non sono sicuro se su ogni visita vengano conservate informazioni su data e ora, ma per vedere i nomi di dominio: fai clic con il pulsante destro del mouse su alcuni contenuti Flash, apri la finestra di dialogo delle impostazioni e fai clic sull'icona Guida o fai clic sul pulsante Avanzate nella scheda Privacy . Questo apre un browser per le pagine della guida su Adobe.com, dove è possibile fare clic sul pannello Impostazioni archiviazione sito Web .
  • È possibile cancellare l'elenco esistente, ma non è possibile impedire che venga nuovamente registrato.

  • Flash consente di archiviare dati sul disco rigido locale, utilizzando i cosiddetti oggetti condivisi locali (noti anche come "cookie Flash"). Proprio come i cookie HTTP, questi dati possono essere rispediti al server, a scopo di tracciamento. Sono cross-browser, non hanno una data di scadenza e nessuna preferenza massima definita dall'utente può essere impostata nelle preferenze di Flash. Questi non sono cookie HTTP, ma non sono (ovviamente) bloccati dalle preferenze dei cookie di un browser e non vengono rimossi quando vengono eliminati i normali cookie HTTP. Adobe ha annunciato che la versione 10.1 obbedirà alla Navigazione privata nella maggior parte dei browser più diffusi, ma sfortunatamente nessuna parola sulla rimozione dei dati ogni volta che i normali cookie vengono eliminati manualmente. E la sua implementazione potrebbe essere fonte di confusione:

    [..] se il browser è in modalità di navigazione normale quando viene creata l'istanza di Flash Player, quella particolare istanza sarà per sempre in modalità di navigazione normale (la navigazione privata è disattivata). Di conseguenza, attivare o disattivare la navigazione privata senza aggiornare la pagina o chiudere la finestra di navigazione privata non avrà alcun impatto su Flash Player.

  • Gli oggetti condivisi locali non si limitano al sito visitato e l'archiviazione di terze parti è abilitata per impostazione predefinita. Nel pannello Impostazioni di archiviazione globale è possibile deselezionare l'impostazione predefinita Consenti al contenuto Flash di terze parti di archiviare i dati sul computer . A causa della natura cross-browser e senza scadenza (e del fatto che poche persone lo conoscono), ritengo che i Flash cookie di terze parti cross-browser siano più pericolosi per il tracciamento dei visitatori rispetto ai normali cookie HTTP di terze parti. Vengono anche utilizzati per ripristinare semplici cookie HTTP che l'utente ha tentato di eliminare:

    "Tutti gli inserzionisti, i siti Web e le reti utilizzano i cookie per la pubblicità mirata, ma i cookie sono sotto attacco. Secondo le ricerche in corso, vengono cancellati dal 40% degli utenti, creando gravi problemi", afferma Mookie Tenembaum, fondatore di United Virtualities. "Da semplice capping frequenza al più sofisticato targeting comportamentale, i cookie sono una parte essenziale di qualsiasi campagna pubblicitaria online. PIE [" Persistent Identificazione Element "] darà editori e fornitori di terze parti un backup persistente cookie efficace renderli inattaccabili " , aggiunge Tenembaum.

    [..] Per giustificare questo meccanismo di tracciamento, il Tenembaum di UV ha dichiarato: "L'utente non è abbastanza esperto nella tecnologia per sapere se il cookie è buono o cattivo o come funziona".

  • Quando si seleziona Nessuno (zero KB) per Specificare la quantità di spazio su disco che i siti Web del sito Web che non sono ancora stati visitati possono utilizzare per archiviare informazioni sul computer e selezionando Non chiedere più, alcuni siti non funzionano. Tuttavia, lo stesso sito potrebbe funzionare quando lo si imposta su Nessuno ma senza selezionare Non chiedere più , quindi scegliere Nega ogni volta che viene richiesto . Entrambe le opzioni comporterebbero l'autorizzazione di zero KB di dati, ma il comportamento differisce.
  • Il plugin fornisce anche una cache di Flash Player per i file firmati Adobe. Immagino che questi file non siano un problema.

Quindi: come eliminare automaticamente tali informazioni?

Su un Mac, è possibile trovare un settings.solfile e una cartella per ogni sito Web Flash visitato in:

$ HOME / Libreria / Preferenze / Macromedia / Flash Player / macromedia.com / support / flashplayer / sys /

L'eliminazione del settings.solfile e di tutte le cartelle sys, rimuove la traccia dai pannelli delle impostazioni. Tuttavia, gli attuali oggetti condivisi locali si trovano altrove (vedere Wikipedia per le posizioni su altri sistemi operativi), in una sottocartella con nome casuale di:

$ HOME / Libreria / Preferenze / Macromedia / Flash Player / # SharedObjects

Ma poi: come rimuoverlo automaticamente? Rimuovere semplicemente le cartelle e il settings.solfile di tanto in tanto (come utilizzando launchdl'Utilità di pianificazione di Windows) può interferire con i browser attivi. O è sicuro supporre che, data la natura cross-browser, al plugin non importerebbe che le cose vengano rimosse mentre è attivo? Solo la cancellazione durante la disconnessione potrebbe non funzionare per coloro che vanno in letargo in ogni momento.

Gli utenti di Firefox possono installare BetterPrivacy o Objection per eliminare gli oggetti condivisi locali (anche per tutti gli altri browser). Non so se ciò elimina anche la traccia dei nomi di dominio del sito Web.

Oppure: come impedire a Flash di memorizzare una traccia cronologica?

Cambio di piano: al momento sto testando di vietare a Flash di scrivere in proprio syse #SharedObjectscartelle. Finora, Flash non ha provato a ripristinare le autorizzazioni (sebbene, quando si eliminano le cartelle, Flash le ricrea naturalmente). Non ho riscontrato alcun problema, ma la convalida potrebbe richiedere alcuni minuti, utilizzando più browser e siti. Non ho ancora trovato un registro che riporta errori. Su un Mac:

cd "$ HOME / Libreria / Preferenze / Macromedia / Flash Player / macromedia.com / support / flashplayer"
rm -r sys / *
chmod uw sys

cd "$ HOME / Libreria / Preferenze / Macromedia / Flash Player"
# conserva le sottocartelle con nome casuale (è sufficiente conservare solo le ultime; vedi sotto)
rm -r \ #SharedObjects / * / *
chmod -R uw \ #SharedObjects

Suppongo che i precedenti chmodnon possano essere raggiunti su un vecchio sistema Windows (non sono sicuro di XP e Vista?). Anche se forse su Windows si potrebbero sostituire le cartelle sys e #SharedObjectscon file fittizi con gli stessi nomi? Chiunque?

Ovviamente, impedire a Flash di archiviare quegli oggetti condivisi locali per tutti i siti può causare problemi. Alcuni risultati del test (Flash 10 su Mac OS X):

  • Quando blocchi la syscartella (anche quando la #SharedObjectscartella è scrivibile), YouTube non ricorderà le impostazioni del volume durante la visualizzazione di più video. Consentire temporaneamente l'accesso in scrittura alle cartelle bloccate durante la visita di siti attendibili (per creare solo cartelle per i domini che ti piacciono, magari includendo riferimenti in settings.sol) risolve ciò. In questo modo, per YouTube, Flash potrebbe essere autorizzato a scrivere sys/#s.ytimg.come #SharedObjects/s.ytimg.com, mentre Flash non è in grado di creare nuove cartelle per altri domini. Potrebbe anche essere necessario effettuare la settings.solsola lettura in seguito, o eliminarlo di nuovo.
  • Quando si bloccano le cartelle syse #SharedObjects, YouTube e Vimeo funzionano correttamente (anche se potrebbero non ricordare alcuna impostazione). Tuttavia, Bits on the Run si rifiuta persino di mostrare il video player. Ciò viene risolto sbloccando temporaneamente la #SharedObjectscartella, per consentire a Flash di creare una sottocartella con un nome casuale. All'interno di questa cartella, creerebbe un'altra cartella per l'attuale sito Web Flash ( content.bitsontherun.com). La rimozione di quella cartella specifica del sito Web e il blocco di entrambi #SharedObjectse della sottocartella denominata in modo casuale sembrano ancora consentire a Bits on the Run di funzionare, anche se non è ancora possibile scrivere nulla sul disco. Quindi: l'esistenza della sottocartella con nome casuale (anche quando protetta da scrittura) è importante per alcuni siti.
  • Quando ho trovato la #SharedObjectscartella per la prima volta , conteneva molte sottocartelle con nomi casuali, alcune create lo stesso giorno. Mi chiedo quando Flash decide che vuole una nuova cartella e come determina (e ricorda) quel nome casuale.
  • Per un momento ho considerato di non bloccare l'accesso in scrittura per syse #SharedObjects, ma di creare esplicitamente cartelle di sola lettura per noti domini di tracciamento di terze parti (come basato su un elenco, ad esempio, AdBlock Plus). In questo modo, qualsiasi altro dominio potrebbe ancora creare oggetti condivisi locali. Ma l'elenco sarebbe lungo e i domini di AdBlock Plus sono probabilmente comunque tutti domini di terze parti, quindi disabilitare Disabilita contenuto Flash di terze parti per archiviare i dati sul tuo computer potrebbe avere lo stesso risultato.

Qualche esperienza qualcuno?

(Note finali: se i collegamenti sopra riportati ai pannelli delle impostazioni non funzionano in futuro, utilizzare l'URL noto a Flash Player come punto di partenza: www.adobe.com/go/settingsmanager . Vedere anche " Hai eliminato il tuo Cookie? Ripensaci "su Wired.com, che utilizza anche i cookie Flash ... Per i molto sospettosi che usano Time Machine: potresti voler escludere entrambe le cartelle, per ogni utente, e rimuovere la traccia che è già presente sul tuo di backup.)

browser  flash-player  privacy-protection 
Arjan
fonte
14
Ho considerato questo problema un grave difetto di progettazione del browser da quando l'ho incontrato per la prima volta. La soluzione ideale sarebbe quella di estendere le interfacce dei plug-in del browser Web in modo che il browser potesse dire a tutti i plug-in di svuotare le rispettive cache o richiedere che i plug-in inseriscano le loro cache in una cartella che il browser può eliminare quando lo desidera per. Fino a quando gli sviluppatori di browser non risolvono questo problema per noi, la tua domanda è molto rilevante.
Chris W. Rea,
E immagino che una soluzione intermedia possa essere un semplice avvertimento quando si modificano le impostazioni dei cookie o della cronologia o quando si avvia una modalità di navigazione privata. Ma soprattutto incolpo Adobe per quel default di consentire l'archiviazione di terze parti.
Arjan,
Hmmm, qualcosa che devo esaminare un giorno: i cookie ritardati di YouTube - non correlati a Flash, a meno che non siano anche cookie Flash. google.com/support/youtube/bin/answer.py?answer=141046
Arjan
Vedi anche "Cookie flash e privacy" su papers.ssrn.com/sol3/papers.cfm?abstract_id=1446862 , con il suo abstract: Troviamo che oltre il 50% dei siti nel nostro esempio utilizza cookie flash per memorizzare informazioni su l'utente. Alcuni lo utilizzano per "rigenerare" o ri-istanziare i cookie HTTP eliminati dall'utente. I cookie flash spesso condividono gli stessi valori dei cookie HTTP e vengono persino utilizzati sui siti Web governativi per assegnare valori univoci agli utenti. Le politiche sulla privacy rivelano raramente la presenza di cookie Flash e mancano i controlli dell'utente per attuare le preferenze sulla privacy.
Arjan,
2
Adobe sta imparando: da gennaio 2011 sul miglioramento della privacy: gestione dell'archiviazione locale in Flash Player : i rappresentanti di diverse aziende chiave, tra cui Adobe, Mozilla e Google, hanno lavorato insieme per definire una nuova API del browser (NPAPI ClearSiteData) per cancellare i dati locali, che è stato approvato per l'implementazione il 5 gennaio 2011. Qualsiasi browser che implementa l'API sarà in grado di cancellare l'archiviazione locale per qualsiasi plug-in che implementa anche l'API.
Arjan,

Risposte:

5

Ho implementato la soluzione che hai descritto su Mac alcuni mesi fa. Ha impedito il tracciamento, ma ha impedito il corretto funzionamento di alcune applicazioni Flash più complicate (qualsiasi cosa con persistenza tra le sessioni, in particolare i giochi Flash con tracciamento dei progressi), o affatto. Alla fine mi sono stancato di risolvere i problemi e ho rimosso i blocchi delle cartelle.

La mia soluzione provvisoria sta usando un blocco Flash. Dato che carico solo oggetti Flash per siti di cui mi fido (come YouTube ), i problemi di privacy vengono mitigati, se non rimossi.

depennazione
fonte
Quando hai risposto, la mia domanda menzionava solo la syscartella. Nel frattempo, Wikipedia mi ha aiutato a trovare anche una #SharedObjectscartella. Quale cartella hai bloccato?
Arjan,
Penso che sia stato ~ / Library / Preferences / Macromedia / Flash \ Player che ho bloccato. Ciò ha impedito di scrivere sia su "sys" che su "#SharedObjects", ma non è stato molto sottile!
Redatto il
Quale Flash Blocker usi?
alex,
@alex - rentzsch.github.com/clicktoflash funziona perfettamente con Safari / Webkit. Non sono richiesti hack!
redatto il
Secondo il suggerimento di @ redacted (ClickToFlash) - funziona in modo fantastico.
Alex
12

Se usi Firefox, allora hai l' estensione BetterPrivacy . Rimuove gli LSO durante l'uscita. E ovviamente puoi usare Flashblock o NoScript per maggiore sicurezza.

Aggiornamento : da 10.1 Flash non memorizza gli LSO se sei in modalità di navigazione privata.

KovBal
fonte
Love BetterPrivacy. Installa e dimentica.
Travis,
Aggiornamento errato. Non memorizza LSO di terze parti. È davvero un software abbastanza spregevole.
Chiggsy,
@chiggsy, non posso confermare che sta negando solo LSO di terze parti in modalità privacy. Ho provato con Flash 11.0.1.152 nell'ultimo Safari e Chrome su OS X Lion. Sì, tutto ciò che è memorizzato è disponibile durante la stessa sessione (ma non in altri browser). Ma i dati non sembrano essere memorizzati sul disco. Non ho testato se la precedente affermazione di Adobe è ancora vera: [..] attivare o disattivare la navigazione privata senza aggiornare la pagina o chiudere la finestra di navigazione privata non avrà alcun impatto su Flash Player.
Arjan,
Per quanto riguarda BetterPrivacy, non supporta solo la pulizia all'uscita (cosa che faccio raramente con i miei browser), ma anche: [...] o con una funzione timer configurabile mentre alcuni cookie Flash desiderati possono essere esclusi dall'eliminazione automatica .
Arjan,
3

Penso che su Windows CCleaner lo eliminerà .

moshen
fonte
1
In effetti lo fa, anche se non sono riuscito a trovare facilmente quelle informazioni su www.ccleaner.com - ma hai ragione, è nei registri delle modifiche su ccleaner.com/download/version-history (che sono un po 'strani, come il supporto per ripulire Flash Player sembra essere stato aggiunto in più versioni ...?)
Arjan,
2

Ho creato uno script launchd per Mac OS X che elimina continuamente i tuoi cookie flash.

Basta cambiare REPLACEME con il tuo nome utente e salvare questo file in ~ / Library / LaunchAgents / RemoveFlashCookies.plist. Riavvia per caricare lo script.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>  
    <key>Label</key>
    <string>Remove Flash Cookies</string>
    <key>ProgramArguments</key>
    <array> 
        <string>rm</string>
        <string>-rf</string>
        <string>/Users/REPLACEME/Library/Preferences/Macromedia</string>
    </array>
    <key>OnDemand</key>
    <false/>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>
Frederik
fonte
Penso che la chiave di WatchPath per il lancio sarebbe di grande aiuto qui. Invece di un ciclo occupato, è sufficiente attivare il processo quando il percorso viene aggiornato.
Chiggsy,
1

Solo un'idea:

Prova a usare:

hdiutil -shadow   # lots more besides this, I just thought of  it.

e montare i percorsi in sola lettura. Lascia che Flash scriva nel file shadow e mantenga uno stato noto di quella directory. Proverò la stessa cosa con TopSites e quel database di immagini di pagine Web che Safari prende.

Perché?

Perché non voglio cancellare i dati. Desidero rispedire indietro i dati modificati. In questo modo posso giocare anche in questo gioco di data mining.

chiggsy
fonte
Solo oggi ho visto il tuo post! Lo hai davvero implementato? Qualche dettaglio divertente da condividere?
Arjan,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.