Molte persone hanno sentito parlare di cookie di terze parti e alcuni browser li bloccano anche per impostazione predefinita. Alcune persone potrebbero persino utilizzare le modalità di Navigazione privata. Tuttavia, solo pochi sembrano rendersi conto che Adobe Flash Player lascia anche una traccia cross-browser sul disco rigido locale e consente di inviare al server informazioni simili a cookie, inclusi siti di terze parti. E poiché si tratta di un plug-in, Flash non tiene conto delle impostazioni sulla privacy del browser.
Ci scusiamo per il lungo post, ma prima alcuni dettagli sul perché l'utilizzo di Flash solleva un problema di privacy, seguito dai risultati dei miei test:
- Flash Player mantiene una cronologia cross-browser dei nomi di dominio dei siti Flash visitati dal computer. A differenza della cronologia del browser, questa cronologia non si limita a un determinato numero di giorni. La cronologia viene inoltre registrata durante l'utilizzo delle cosiddette modalità di navigazione privata. È memorizzato sul tuo disco rigido (anche se, come descritto di seguito, senza andare al sito di Adobe non saprai cosa è memorizzato).
- Non sono sicuro se su ogni visita vengano conservate informazioni su data e ora, ma per vedere i nomi di dominio: fai clic con il pulsante destro del mouse su alcuni contenuti Flash, apri la finestra di dialogo delle impostazioni e fai clic sull'icona Guida o fai clic sul pulsante Avanzate nella scheda Privacy . Questo apre un browser per le pagine della guida su Adobe.com, dove è possibile fare clic sul pannello Impostazioni archiviazione sito Web .
- È possibile cancellare l'elenco esistente, ma non è possibile impedire che venga nuovamente registrato.
Flash consente di archiviare dati sul disco rigido locale, utilizzando i cosiddetti oggetti condivisi locali (noti anche come "cookie Flash"). Proprio come i cookie HTTP, questi dati possono essere rispediti al server, a scopo di tracciamento. Sono cross-browser, non hanno una data di scadenza e nessuna preferenza massima definita dall'utente può essere impostata nelle preferenze di Flash. Questi non sono cookie HTTP, ma non sono (ovviamente) bloccati dalle preferenze dei cookie di un browser e non vengono rimossi quando vengono eliminati i normali cookie HTTP. Adobe ha annunciato che la versione 10.1 obbedirà alla Navigazione privata nella maggior parte dei browser più diffusi, ma sfortunatamente nessuna parola sulla rimozione dei dati ogni volta che i normali cookie vengono eliminati manualmente. E la sua implementazione potrebbe essere fonte di confusione:
[..] se il browser è in modalità di navigazione normale quando viene creata l'istanza di Flash Player, quella particolare istanza sarà per sempre in modalità di navigazione normale (la navigazione privata è disattivata). Di conseguenza, attivare o disattivare la navigazione privata senza aggiornare la pagina o chiudere la finestra di navigazione privata non avrà alcun impatto su Flash Player.
Gli oggetti condivisi locali non si limitano al sito visitato e l'archiviazione di terze parti è abilitata per impostazione predefinita. Nel pannello Impostazioni di archiviazione globale è possibile deselezionare l'impostazione predefinita Consenti al contenuto Flash di terze parti di archiviare i dati sul computer . A causa della natura cross-browser e senza scadenza (e del fatto che poche persone lo conoscono), ritengo che i Flash cookie di terze parti cross-browser siano più pericolosi per il tracciamento dei visitatori rispetto ai normali cookie HTTP di terze parti. Vengono anche utilizzati per ripristinare semplici cookie HTTP che l'utente ha tentato di eliminare:
"Tutti gli inserzionisti, i siti Web e le reti utilizzano i cookie per la pubblicità mirata, ma i cookie sono sotto attacco. Secondo le ricerche in corso, vengono cancellati dal 40% degli utenti, creando gravi problemi", afferma Mookie Tenembaum, fondatore di United Virtualities. "Da semplice capping frequenza al più sofisticato targeting comportamentale, i cookie sono una parte essenziale di qualsiasi campagna pubblicitaria online. PIE [" Persistent Identificazione Element "] darà editori e fornitori di terze parti un backup persistente cookie efficace renderli inattaccabili " , aggiunge Tenembaum.
[..] Per giustificare questo meccanismo di tracciamento, il Tenembaum di UV ha dichiarato: "L'utente non è abbastanza esperto nella tecnologia per sapere se il cookie è buono o cattivo o come funziona".
- Quando si seleziona Nessuno (zero KB) per Specificare la quantità di spazio su disco che i siti Web del sito Web che non sono ancora stati visitati possono utilizzare per archiviare informazioni sul computer e selezionando Non chiedere più, alcuni siti non funzionano. Tuttavia, lo stesso sito potrebbe funzionare quando lo si imposta su Nessuno ma senza selezionare Non chiedere più , quindi scegliere Nega ogni volta che viene richiesto . Entrambe le opzioni comporterebbero l'autorizzazione di zero KB di dati, ma il comportamento differisce.
- Il plugin fornisce anche una cache di Flash Player per i file firmati Adobe. Immagino che questi file non siano un problema.
Quindi: come eliminare automaticamente tali informazioni?
Su un Mac, è possibile trovare un settings.sol
file e una cartella per ogni sito Web Flash visitato in:
$ HOME / Libreria / Preferenze / Macromedia / Flash Player / macromedia.com / support / flashplayer / sys /
L'eliminazione del settings.sol
file e di tutte le cartelle sys
, rimuove la traccia dai pannelli delle impostazioni. Tuttavia, gli attuali oggetti condivisi locali si trovano altrove (vedere Wikipedia per le posizioni su altri sistemi operativi), in una sottocartella con nome casuale di:
$ HOME / Libreria / Preferenze / Macromedia / Flash Player / # SharedObjects
Ma poi: come rimuoverlo automaticamente? Rimuovere semplicemente le cartelle e il settings.sol
file di tanto in tanto (come utilizzando launchd
l'Utilità di pianificazione di Windows) può interferire con i browser attivi. O è sicuro supporre che, data la natura cross-browser, al plugin non importerebbe che le cose vengano rimosse mentre è attivo? Solo la cancellazione durante la disconnessione potrebbe non funzionare per coloro che vanno in letargo in ogni momento.
Gli utenti di Firefox possono installare BetterPrivacy o Objection per eliminare gli oggetti condivisi locali (anche per tutti gli altri browser). Non so se ciò elimina anche la traccia dei nomi di dominio del sito Web.
Oppure: come impedire a Flash di memorizzare una traccia cronologica?
Cambio di piano: al momento sto testando di vietare a Flash di scrivere in proprio sys
e #SharedObjects
cartelle. Finora, Flash non ha provato a ripristinare le autorizzazioni (sebbene, quando si eliminano le cartelle, Flash le ricrea naturalmente). Non ho riscontrato alcun problema, ma la convalida potrebbe richiedere alcuni minuti, utilizzando più browser e siti. Non ho ancora trovato un registro che riporta errori. Su un Mac:
cd "$ HOME / Libreria / Preferenze / Macromedia / Flash Player / macromedia.com / support / flashplayer"
rm -r sys / *
chmod uw syscd "$ HOME / Libreria / Preferenze / Macromedia / Flash Player"
# conserva le sottocartelle con nome casuale (è sufficiente conservare solo le ultime; vedi sotto)
rm -r \ #SharedObjects / * / *
chmod -R uw \ #SharedObjects
Suppongo che i precedenti chmod
non possano essere raggiunti su un vecchio sistema Windows (non sono sicuro di XP e Vista?). Anche se forse su Windows si potrebbero sostituire le cartelle sys
e #SharedObjects
con file fittizi con gli stessi nomi? Chiunque?
Ovviamente, impedire a Flash di archiviare quegli oggetti condivisi locali per tutti i siti può causare problemi. Alcuni risultati del test (Flash 10 su Mac OS X):
- Quando blocchi la
sys
cartella (anche quando la#SharedObjects
cartella è scrivibile), YouTube non ricorderà le impostazioni del volume durante la visualizzazione di più video. Consentire temporaneamente l'accesso in scrittura alle cartelle bloccate durante la visita di siti attendibili (per creare solo cartelle per i domini che ti piacciono, magari includendo riferimenti insettings.sol
) risolve ciò. In questo modo, per YouTube, Flash potrebbe essere autorizzato a scriveresys/#s.ytimg.com
e#SharedObjects/s.ytimg.com
, mentre Flash non è in grado di creare nuove cartelle per altri domini. Potrebbe anche essere necessario effettuare lasettings.sol
sola lettura in seguito, o eliminarlo di nuovo. - Quando si bloccano le cartelle
sys
e#SharedObjects
, YouTube e Vimeo funzionano correttamente (anche se potrebbero non ricordare alcuna impostazione). Tuttavia, Bits on the Run si rifiuta persino di mostrare il video player. Ciò viene risolto sbloccando temporaneamente la#SharedObjects
cartella, per consentire a Flash di creare una sottocartella con un nome casuale. All'interno di questa cartella, creerebbe un'altra cartella per l'attuale sito Web Flash (content.bitsontherun.com
). La rimozione di quella cartella specifica del sito Web e il blocco di entrambi#SharedObjects
e della sottocartella denominata in modo casuale sembrano ancora consentire a Bits on the Run di funzionare, anche se non è ancora possibile scrivere nulla sul disco. Quindi: l'esistenza della sottocartella con nome casuale (anche quando protetta da scrittura) è importante per alcuni siti. - Quando ho trovato la
#SharedObjects
cartella per la prima volta , conteneva molte sottocartelle con nomi casuali, alcune create lo stesso giorno. Mi chiedo quando Flash decide che vuole una nuova cartella e come determina (e ricorda) quel nome casuale. - Per un momento ho considerato di non bloccare l'accesso in scrittura per
sys
e#SharedObjects
, ma di creare esplicitamente cartelle di sola lettura per noti domini di tracciamento di terze parti (come basato su un elenco, ad esempio, AdBlock Plus). In questo modo, qualsiasi altro dominio potrebbe ancora creare oggetti condivisi locali. Ma l'elenco sarebbe lungo e i domini di AdBlock Plus sono probabilmente comunque tutti domini di terze parti, quindi disabilitare Disabilita contenuto Flash di terze parti per archiviare i dati sul tuo computer potrebbe avere lo stesso risultato.
Qualche esperienza qualcuno?
(Note finali: se i collegamenti sopra riportati ai pannelli delle impostazioni non funzionano in futuro, utilizzare l'URL noto a Flash Player come punto di partenza: www.adobe.com/go/settingsmanager . Vedere anche " Hai eliminato il tuo Cookie? Ripensaci "su Wired.com, che utilizza anche i cookie Flash ... Per i molto sospettosi che usano Time Machine: potresti voler escludere entrambe le cartelle, per ogni utente, e rimuovere la traccia che è già presente sul tuo di backup.)