Arj*_*jan 46 browser privacy-protection flash-player
很多人都听说过第三方 cookie,有些浏览器甚至会默认阻止它们。有些人甚至可能使用隐私浏览模式。然而,似乎只有少数人意识到 Adobe 的 Flash 播放器还在您的本地硬盘驱动器上留下了跨浏览器的痕迹,并允许将类似 cookie 的信息发送回服务器,包括第三方站点。由于它是一个插件,Flash 不会考虑任何浏览器的隐私设置。
抱歉,这篇文章很长,但首先是关于为什么使用 Flash 会引起隐私问题的一些详细信息,然后是我的测试结果:
Flash 允许使用所谓的本地共享对象(又名“Flash Cookies”)将数据存储在您的本地硬盘驱动器上。就像 HTTP cookie 一样,这些数据可以发送回服务器,用于跟踪目的。它们是跨浏览器的,没有到期日期,也不能在 Flash 首选项中设置用户定义的最大生命周期。这些不是 HTTP cookie,它们(当然)不会被浏览器的 cookie 首选项阻止,并且在删除正常的 HTTP cookie 时不会被删除。Adobe已宣布10.1 版将遵守大多数流行浏览器中的隐私浏览,但不幸的是,没有任何关于在手动删除普通 cookie 时也会删除数据的消息。它的实现可能会令人困惑:
[..] 如果在创建 Flash Player 实例时浏览器处于正常浏览模式,那么该特定实例将永远处于正常浏览模式(关闭隐私浏览)。因此,在不刷新页面或关闭隐私浏览窗口的情况下打开或关闭隐私浏览不会影响 Flash Player。
本地共享对象不限于您访问的站点,默认启用第三方存储。在全局存储设置面板中,可以取消选择默认的允许第三方 Flash 内容在您的计算机上存储数据。由于跨浏览器和无过期的特性(而且很少有人知道这一点),我觉得跨浏览器的第三方 Flash Cookie 比第三方普通 HTTP cookie 对访问者跟踪更危险。它们甚至用于恢复用户试图删除的纯 HTTP cookie:
“所有广告商、网站和网络都将 cookie 用于有针对性的广告,但 cookie 受到攻击。根据目前的研究,它们被 40% 的用户删除,造成严重问题,” United Virtualities 的创始人 Mookie Tenembaum 说。“从简单的频率上限到更复杂的行为定位,cookie 是任何在线广告活动的重要组成部分。PIE [“持久标识元素”] 将为发布商和第三方提供商提供持久的 cookie 备份,有效地使他们无懈可击”,添加 Tenembaum。
[..] 为了证明这种跟踪机制的合理性,UV 的 Tenembaum 说,“用户对技术的了解不够熟练,无法知道 cookie 是好是坏,或者它是如何工作的。”
那么:如何自动删除该信息?
在 Mac 上,您可以在以下位置找到settings.sol每个访问过的 Flash 网站的文件和文件夹:
$HOME/Library/Preferences/Macromedia/Flash Player/macromedia.com/support/flashplayer/sys/
删除settings.sol文件和 中的所有文件夹sys,将从设置面板中删除轨迹。但是,实际的本地共享对象位于其他地方(有关其他操作系统上的位置,请参阅维基百科),位于以下随机命名的子文件夹中:
$HOME/Library/Preferences/Macromedia/Flash Player/#SharedObjects
但是:如何自动删除它?不时地简单地删除文件夹和settings.sol文件(如使用launchd或 Windows 的任务计划程序)可能会干扰活动的浏览器。或者可以安全地假设,考虑到跨浏览器的特性,插件不会关心在它处于活动状态时是否删除了东西?对于那些一直处于休眠状态的人,仅在注销期间清除可能不起作用。
Firefox 用户可以安装BetterPrivacy或Objection来删除本地共享对象(也适用于所有其他浏览器)。我不知道这是否也删除了网站域名的踪迹。
或者:如何阻止 Flash 存储历史记录?
计划变更:我目前正在测试禁止 Flash 写入其自身sys和#SharedObjects文件夹。到目前为止,Flash 还没有尝试恢复权限(不过,在删除文件夹时,Flash 当然会重新创建它们)。我没有遇到任何问题,但这可能需要一些时间来验证,使用多个浏览器和站点。我还没有找到报告错误的日志。在 Mac 上:
cd "$HOME/Library/Preferences/Macromedia/Flash Player/macromedia.com/support/flashplayer"
rm -r sys/*
chmod uw syscd "$HOME/Library/Preferences/Macromedia/Flash Player"
# 保留随机命名的子文件夹(只保留最新的就足够了;见下文)
rm -r \#SharedObjects/*/*
chmod -R uw \#SharedObjects
我想在chmod旧的 Windows 系统上无法实现上述s(我不确定 XP 和 Vista?)。虽然也许在 Windows 上可以替换文件夹 sys和#SharedObjects具有相同名称的虚拟文件?任何人?
显然,让 Flash 不为所有站点存储这些本地共享对象可能会导致问题。一些测试结果(Mac OS X 上的 Flash 10):
sys文件夹(即使#SharedObjects文件夹保持可写),YouTube将不会在查看多个视频时记住您的音量设置。在访问受信任站点时临时允许对被阻止文件夹的写访问(仅为您喜欢的域创建文件夹,可能包括 中的引用settings.sol)解决了这个问题。这样,对于 YouTube,可以允许 Flash 写入sys/#s.ytimg.com和#SharedObjects/s.ytimg.com,而 Flash 不能为其他域创建新文件夹。之后可能还需要将其设为settings.sol只读,或者再次将其删除。sys和#SharedObjects文件夹时,YouTube 和Vimeo工作正常(尽管他们可能不记得任何设置)。然而,Bits on the Run甚至拒绝显示视频播放器。这是通过暂时解除对#SharedObjects文件夹的阻止来解决的,以允许 Flash 创建一个具有一些随机名称的子文件夹。在此文件夹中,它将为当前 Flash 网站 ( content.bitsontherun.com)创建另一个文件夹。删除该特定于网站的文件夹,并同时阻止#SharedObjects和随机命名的子文件夹,似乎仍然允许 Bits on the Run 运行,即使它仍然无法向磁盘写入任何内容。所以:随机命名的子文件夹的存在(即使在写保护时)对于某些站点很重要。#SharedObjects文件夹时,它包含许多随机名称的子文件夹,其中一些是在同一天创建的。我想知道 Flash 何时决定需要一个新文件夹,以及它如何确定(并记住)该随机名称。sys和 的写访问#SharedObjects,而是明确地为知名的第三方跟踪域创建只读文件夹(例如基于来自 AdBlock Plus 的列表)。这样,任何其他域仍然可以创建本地共享对象。但是列表会很长,而且 AdBlock Plus 中的域可能都是第三方域,因此禁用允许第三方 Flash 内容在您的计算机上存储数据可能会产生完全相同的结果。任何人有经验吗?
(最后说明:如果以上指向设置面板的链接将来无法使用,请使用 Flash Player 已知的 URL 作为起点:www.adobe.com/go/settingsmanager。另请参阅“您删除了您的Cookies?在 Wired.com 上再想一想——它也使用 Flash cookie 本身......对于使用 Time Machine 的非常可疑的人:您可能希望为每个用户排除两个文件夹,并删除已经在您的备份。)
Kov*_*Bal 12
如果您使用 Firefox,那么您就有了BetterPrivacy扩展。它在退出期间删除 LSO。当然,您可以使用Flashblock或NoScript来提高安全性。
更新:如果您处于隐私浏览模式,Flash 从 10.1 开始就不会存储 LSO。
| 归档时间: |
|
| 查看次数: |
40315 次 |
| 最近记录: |