Jak automatycznie usunąć historię Flash / ślad prywatności? Lub zatrzymać przechowywanie Flasha?

47

Wiele osób słyszało o plikach cookie innych firm, a niektóre przeglądarki domyślnie nawet je blokują. Niektóre osoby mogą nawet korzystać z trybów przeglądania prywatnego. Jednak tylko nieliczni zdają sobie sprawę, że Adobe Flash Player pozostawia ślad w różnych przeglądarkach na lokalnym dysku twardym i umożliwia wysyłanie informacji podobnych do plików cookie z powrotem na serwer, w tym na strony osób trzecich. A ponieważ jest to wtyczka, Flash nie bierze pod uwagę żadnych ustawień prywatności przeglądarki.

Przepraszam za długi post, ale najpierw kilka szczegółów na temat tego, dlaczego używanie Flasha budzi obawy dotyczące prywatności, a następnie wyniki moich testów:

  • Odtwarzacz Flash przechowuje historię przeglądarek nazw domen witryn Flash, które odwiedził Twój komputer. W przeciwieństwie do historii przeglądarki, ta historia nie jest ograniczona do określonej liczby dni. Historia jest również rejestrowana podczas korzystania z tak zwanych trybów przeglądania prywatnego. Jest on przechowywany na twoim dysku twardym (jednak, jak opisano poniżej, bez wchodzenia na stronę Adobe nie będziesz wiedział, co jest przechowywane).
  • Nie jestem pewien, czy informacje o dacie i godzinie są przechowywane o każdej wizycie, ale aby zobaczyć nazwy domen: kliknij prawym przyciskiem myszy zawartość Flash, otwórz okno dialogowe ustawień i kliknij ikonę Pomoc lub kliknij przycisk Zaawansowane na karcie Prywatność . Spowoduje to otwarcie przeglądarki na stronach pomocy w witrynie Adobe.com, gdzie można przejść do panelu Ustawienia przechowywania w witrynie .
  • Można wyczyścić istniejącą listę, ale nie można zatrzymać jej ponownego nagrywania.
  • Flash pozwala na przechowywanie danych na lokalnym dysku twardym przy użyciu tak zwanych lokalnych współdzielonych obiektów ( zwanych także „ciasteczkami Flash”). Podobnie jak pliki cookie HTTP, dane te można przesłać z powrotem na serwer w celu śledzenia. Są one przeznaczone dla różnych przeglądarek, nie mają daty ważności, a preferencje Flash nie mogą również określać maksymalnego okresu użytkowania zdefiniowanego przez użytkownika. Nie są to pliki cookie HTTP, ale (oczywiście) nie są blokowane przez preferencje plików cookie przeglądarki i nie są usuwane po usunięciu zwykłych plików cookie HTTP. Adobe ogłosiło, że wersja 10.1 będzie przestrzegać Prywatnego przeglądania w najpopularniejszych przeglądarkach, ale niestety nie ma słowa o usuwaniu danych za każdym razem, gdy normalne pliki cookie są usuwane ręcznie. A jego wdrożenie może być mylące:

    [..] jeśli przeglądarka jest w normalnym trybie przeglądania, gdy tworzona jest instancja Flash Player, to ta konkretna instancja na zawsze będzie w normalnym trybie przeglądania (prywatne przeglądanie jest wyłączone). W związku z tym włączenie lub wyłączenie prywatnego przeglądania bez odświeżania strony lub zamknięcia okna prywatnego przeglądania nie wpłynie na Flash Playera.

  • Lokalne obiekty współdzielone nie są ograniczone do odwiedzanej witryny, a pamięć zewnętrzna jest domyślnie włączona. W panelu Globalne ustawienia pamięci masowej można odznaczyć domyślną opcję Zezwalaj zawartości Flash stron trzecich na przechowywanie danych na twoim komputerze . Ze względu na przeglądarkę i bez wygaśnięcia (i fakt, że niewiele osób o tym wie), uważam, że pliki cookie Flash innych firm są bardziej niebezpieczne dla śledzenia odwiedzających niż normalne pliki cookie HTTP innych firm. Są nawet używane do przywracania zwykłych plików cookie HTTP, które użytkownik próbował usunąć:

    „Wszyscy reklamodawcy, witryny i sieci używają plików cookie do ukierunkowanej reklamy, ale pliki cookie są atakowane. Według obecnych badań są one usuwane przez 40% użytkowników, co powoduje poważne problemy”, mówi Mookie Tenembaum, założyciel United Virtualities. „Z prostego czapeczki częstotliwości do bardziej wyrafinowanych targetowania behawioralnego, ciasteczka są istotną częścią każdej kampanii reklamowej online. PIE [” Persistent Identyfikacja Element „] da wydawców i dostawców zewnętrznych trwałą kopię zapasową do ciasteczek skutecznie czyniąc je niepodważalne , dodaje Tenembaum.

    [..] Aby uzasadnić ten mechanizm śledzenia, Tenembaum z UV powiedział: „Użytkownik nie jest wystarczająco biegły w technologii, aby wiedzieć, czy plik cookie jest dobry, czy zły, lub jak działa”.

  • Po wybraniu opcji Brak (zero KB) dla Określ ilość miejsca na dysku, którego witryny internetowe, które jeszcze nie odwiedziłeś, mogą wykorzystać do przechowywania informacji na twoim komputerze , i zaznaczenie opcji Nigdy więcej nie pytaj, wtedy niektóre witryny nie działają. Jednak w tym samym miejscu może pracować przy ustawianiu go do Żaden jednak nie wybierając Nie pytaj ponownie , a następnie wybrać Odmów gdy poproszony . Obie opcje spowodowałyby, że zero KB byłoby dozwolone, ale zachowanie jest inne.
  • Wtyczka zapewnia także pamięć podręczną Flash Player dla plików podpisanych przez Adobe. Sądzę, że te pliki nie stanowią problemu.

Więc: jak automatycznie usunąć te informacje?

Na komputerze Mac można znaleźć settings.solplik i folder dla każdej odwiedzanej witryny Flash w:

$ HOME / Biblioteka / Preferencje / Macromedia / Flash Player / macromedia.com / support / flashplayer / sys /

Usunięcie settings.solpliku i wszystkich folderów syswewnątrz powoduje usunięcie śladu z paneli ustawień. Jednak rzeczywiste lokalne współużytkowane obiekty znajdują się gdzie indziej ( lokalizacje w innych systemach operacyjnych można znaleźć w Wikipedii ), w losowo nazwanym podfolderze:

$ HOME / Biblioteka / Preferencje / Macromedia / Flash Player / # SharedObjects

Ale potem: jak usunąć to automatycznie? Zwykłe usuwanie folderów i settings.solpliku od czasu do czasu (np. Przy użyciu launchdlub Harmonogramu zadań systemu Windows) może zakłócać działanie aktywnych przeglądarek. Czy też można bezpiecznie założyć, że biorąc pod uwagę naturę przeglądarki, wtyczka nie będzie się przejmować, jeśli rzeczy zostaną usunięte, gdy jest aktywne? Tylko czyszczenie podczas wylogowywania może nie działać dla tych, którzy przez cały czas hibernują.

Użytkownicy Firefoksa mogą zainstalować BetterPrivacy lub Objection, aby usunąć lokalne współdzielone obiekty (również dla wszystkich innych przeglądarek). Nie wiem, czy to również usuwa ślad nazw domen internetowych.

Lub: jak powstrzymać Flasha od zapisywania historii?

Zmiana planów: Testuję obecnie zakaz używania Flasha do pisania własnych sysi #SharedObjectsfolderów. Do tej pory Flash nie próbował przywrócić uprawnień (jednak podczas usuwania folderów Flash oczywiście je odtworzy). Nie napotkałem żadnych problemów, ale sprawdzenie poprawności może zająć trochę czasu przy użyciu wielu przeglądarek i witryn. Nie znalazłem jeszcze dziennika, który zgłasza błędy. Na komputerze Mac:

cd "$ HOME / Biblioteka / Preferencje / Macromedia / Flash Player / macromedia.com / support / flashplayer"
rm -r sys / *
chmod uw sys

cd "$ HOME / Library / Preferences / Macromedia / Flash Player"
# zachowaj losowo nazwane podfoldery (wystarczyłoby tylko zachowanie najnowszego; patrz poniżej)
rm -r \ #SharedObjects / * / *
chmod -R uw \ #SharedObjects

Wydaje mi się, że powyższego chmodnie można osiągnąć na starym systemie Windows (nie jestem pewien co do XP i Visty?). Choć może w systemie Windows można było zastąpić foldery sys oraz #SharedObjectsz manekina pliki o tych samych nazwach? Ktoś?

Oczywiście powstrzymywanie Flasha przed przechowywaniem tych lokalnych obiektów współdzielonych dla wszystkich witryn może powodować problemy. Niektóre wyniki testów (Flash 10 w systemie Mac OS X):

  • Gdy blokujesz sysfolder (nawet jeśli pozostawiasz #SharedObjectsfolder do zapisu), YouTube nie zapamięta ustawień głośności podczas oglądania wielu filmów. Tymczasowe zezwolenie na dostęp do zapisu do zablokowanych folderów podczas odwiedzania zaufanych witryn (w celu tworzenia folderów tylko dla domen, które lubisz, może zawierając odniesienia settings.sol) rozwiązuje ten problem. W ten sposób dla YouTube można zezwolić Flashowi na pisanie sys/#s.ytimg.comi #SharedObjects/s.ytimg.com, podczas gdy Flash nie może tworzyć nowych folderów dla innych domen. Konieczne może być również ustawienie opcji „tylko do settings.solodczytu” lub usunięcie jej ponownie.
  • Podczas blokowania zarówno sysi #SharedObjectsfoldery, YouTube i Vimeo działać dobrze (chociaż mogą one nie pamiętają żadnych ustawień). Jednak Bits on the Run odmawia nawet wyświetlenia odtwarzacza wideo. Rozwiązuje to tymczasowe odblokowanie #SharedObjectsfolderu, aby umożliwić Flashowi utworzenie podfolderu o dowolnej losowej nazwie. W tym folderze utworzyłby kolejny folder dla bieżącej witryny Flash ( content.bitsontherun.com). Usunięcie tego folderu specyficznego dla strony internetowej oraz zablokowanie zarówno #SharedObjectspodfolderu o losowej nazwie, jak się wydaje, nadal pozwala na działanie Bits on the Run, nawet jeśli nadal nie może zapisywać niczego na dysku. Tak więc: istnienie losowo nazwanego podfolderu (nawet gdy jest chroniony przed zapisem) jest ważne dla niektórych stron.
  • Kiedy pierwszy raz znalazłem ten #SharedObjectsfolder, zawierał wiele podfolderów z losowymi nazwami, niektóre utworzone tego samego dnia. Zastanawiam się, kiedy Flash zdecyduje, że chce nowego folderu i jak określa (i zapamiętuje) tę losową nazwę.
  • Przez chwilę zastanawiałem się nad nie blokowaniem dostępu do zapisu sysi #SharedObjects, ale jawnym tworzeniem folderów tylko do odczytu dla znanych domen śledzenia innych firm (na przykład na podstawie listy z, na przykład, AdBlock Plus). W ten sposób każda inna domena mogłaby nadal tworzyć Lokalne Współdzielone Obiekty. Ale lista byłaby długa, a domeny z AdBlock Plus i tak prawdopodobnie są domenami wszystkich firm zewnętrznych, więc wyłączenie Zezwalaj zawartości Flash na przechowywanie danych na twoim komputerze może mieć ten sam rezultat.

Czy ktoś doświadczył?

(Uwagi końcowe: jeśli powyższe łącza do paneli ustawień nie będą działać w przyszłości, użyj adresu URL znanego Flash Playerowi jako punktu wyjścia: www.adobe.com/go/settingsmanager . Zobacz także „ Usunąłeś swój Pliki cookie? Pomyśl jeszcze raz ”w witrynie Wired.com - która również korzysta z samych plików cookie Flash ... Dla bardzo podejrzanych korzystających z Time Machine: możesz wykluczyć oba foldery dla każdego użytkownika i usunąć ślad, który jest już na twoim utworzyć kopię zapasową.)

Arjan
źródło
14
Uznałem ten problem za poważną wadę przeglądarki od czasu, gdy go po raz pierwszy spotkałem. Idealnym rozwiązaniem byłoby dla przeglądarki plug-in interfejsów albo zostać rozszerzony tak, przeglądarka może powiedzieć wszystkie wtyczki, aby wyczyścić swoje odpowiednie bufory, albo wymagają wtyczek, aby umieścić swoje bufory w folderze przeglądarki można oczyścić kiedy chce do. Jednak dopóki twórcy przeglądarek nie rozwiążą dla nas tego problemu, twoje pytanie jest bardzo trafne.
Chris W. Rea
Wydaje mi się, że tymczasowe rozwiązanie może być prostym ostrzeżeniem podczas zmiany ustawień plików cookie lub historii lub podczas uruchamiania trybu przeglądania prywatnego. Ale przede wszystkim winię Adobe za to, że domyślnie zezwala na przechowywanie danych przez osoby trzecie.
Arjan
Hmmm, coś, na co muszę spojrzeć pewnego dnia: opóźnione pliki cookie YouTube - niezwiązane z Flashem, chyba że są to również pliki cookie Flash. google.com/support/youtube/bin/answer.py?answer=141046
Arjan
Zobacz także „ Flashowe pliki cookie i prywatność” na stronie papers.ssrn.com/sol3/papers.cfm?abstract_id=1446862 , ze streszczeniem: Okazuje się , że ponad 50% witryn w naszej próbce używa flashowych plików cookie do przechowywania informacji o użytkownik. Niektórzy używają go do „odradzania” lub ponownego tworzenia plików cookie HTTP usuniętych przez użytkownika. Pliki cookie Flash często mają takie same wartości jak pliki cookie HTTP, a nawet są używane w witrynach rządowych do przypisywania użytkownikom unikalnych wartości. Polityka prywatności rzadko ujawnia obecność plików cookie Flash, a brakuje kontroli użytkownika w celu wykonania preferencji prywatności.
Arjan
2
Adobe uczy się: od stycznia 2011 r. „ Poprawa prywatności: zarządzanie lokalną pamięcią masową w programie Flash Player” : przedstawiciele kilku kluczowych firm, w tym Adobe, Mozilla i Google, pracują wspólnie nad zdefiniowaniem nowego interfejsu API przeglądarki (NPAPI ClearSiteData) do czyszczenia danych lokalnych, które został zatwierdzony do wdrożenia 5 stycznia 2011 r. Każda przeglądarka, która implementuje interfejs API, będzie mogła wyczyścić pamięć lokalną dla dowolnej wtyczki, która również implementuje interfejs API.
Arjan

Odpowiedzi:

5

Wdrożyłem rozwiązanie, które opisałeś na Macu kilka miesięcy temu. Zapobiegło to śledzeniu, ale uniemożliwiło poprawne działanie lub nawet całkiem skomplikowane aplikacje Flash (wszystko z trwałością między sesjami, oczywiście gry Flash ze śledzeniem postępu). W końcu zmęczyłem się rozwiązywaniem problemów i usunąłem blokady folderów.

Moje tymczasowe rozwiązanie wykorzystuje Flash Blocker. Ponieważ ładuję obiekty Flash tylko dla witryn, którym ufam (takich jak YouTube ), problemy związane z prywatnością zostają złagodzone, jeśli nie zostaną usunięte.

zredagowane
źródło
Kiedy odpowiedziałeś, moje pytanie tylko wspomniało o sysfolderze. Tymczasem Wikipedia pomogła mi również znaleźć #SharedObjectsfolder. Który folder zablokowałeś?
Arjan
Myślę, że to ~ / Library / Preferences / Macromedia / Flash \ Player, które zablokowałem. To uniemożliwiło pisanie zarówno do „sys”, jak i „#SharedObjects”, ale nie było to bardzo subtelne!
zredagował
Z którego Flash Blockera korzystasz?
alex
@alex - rentzsch.github.com/clicktoflash działa idealnie dla Safari / Webkit. Nie wymaga hackowania!
zredagowano
I second @ zredagował sugestię (ClickToFlash) - działa fantastycznie.
Alex
12

Jeśli używasz przeglądarki Firefox, masz rozszerzenie BetterPrivacy . Usuwa LSO podczas wyjścia. I oczywiście możesz użyć Flashblock lub NoScript dla dodatkowego bezpieczeństwa.

Aktualizacja : od 10.1 Flash nie przechowuje LSO, jeśli jesteś w trybie przeglądania prywatnego.

KovBal
źródło
Love BetterPrivacy. Zainstaluj i zapomnij.
Travis
Niepoprawna aktualizacja. To nie przechowuje 3-cia strona LSO jest. To naprawdę godne pogardy oprogramowanie.
chiggsy,
@chiggsy, nie mogę potwierdzić, że odmawia jedynie korzystania z usług LSO podmiotów zewnętrznych w trybach prywatności. Testowałem z Flash 11.0.1.152 w najnowszym Safari i Chrome na OS X Lion. Tak, wszystko, co jest przechowywane, jest dostępne podczas tej samej sesji (ale nie w innych przeglądarkach). Ale wydaje się, że dane nie są przechowywane na dysku. Nie sprawdziłem, czy wcześniejsze oświadczenie Adobe jest nadal prawdziwe: [...] włączanie lub wyłączanie prywatnego przeglądania bez odświeżania strony lub zamykania prywatnego okna przeglądania nie wpłynie na Flash Playera.
Arjan,
Jeśli chodzi o BetterPrivacy, obsługuje ona nie tylko czyszczenie przy wyjściu (co rzadko robię w moich przeglądarkach), ale także: [...] lub konfigurowalną funkcję timera, podczas gdy niektóre pożądane pliki cookie Flash można wykluczyć z automatycznego usuwania .
Arjan,
3

Myślę, że w Windows CCleaner to wyczyści.

moshen
źródło
1
Rzeczywiście tak jest, chociaż nie mogłem łatwo znaleźć tych informacji na www.ccleaner.com - ale masz rację, jest to w dziennikach zmian na ccleaner.com/download/version-history (które są nieco dziwne, ponieważ obsługa czyszczenia Flash Player wydaje się być dodawany w wielu wydaniach ...?)
Arjan
2

Stworzyłem skrypt uruchamiający system Mac OS X, który stale usuwa pliki cookie flash.

Po prostu zmień REPLACEME za pomocą swojej nazwy użytkownika i zapisz ten plik w ~ / Library / LaunchAgents / RemoveFlashCookies.plist. Uruchom ponownie, aby załadować skrypt.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>  
    <key>Label</key>
    <string>Remove Flash Cookies</string>
    <key>ProgramArguments</key>
    <array> 
        <string>rm</string>
        <string>-rf</string>
        <string>/Users/REPLACEME/Library/Preferences/Macromedia</string>
    </array>
    <key>OnDemand</key>
    <false/>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>
Frederik
źródło
Myślę, że klucz WatchPaths do uruchomienia bardzo by tu pomógł. Zamiast zajętej pętli, po prostu uruchom zadanie, gdy ścieżka zostanie zaktualizowana.
chiggsy,
1

Pomysł:

Spróbuj użyć:

hdiutil -shadow   # lots more besides this, I just thought of  it.

i montowanie ścieżek tylko do odczytu. Pozwól Flashowi zapisywać do pliku cienia i utrzymywać znany stan tego katalogu. Spróbuję tego samego z TopSites i bazą danych zdjęć stron internetowych, którą robi Safari.

Dlaczego?

Ponieważ nie chcę usuwać danych. Chcę odesłać im zmodyfikowane dane. W ten sposób mogę również grać w tę grę eksploracji danych.

chiggsy
źródło
Dopiero dziś widziałem twój post! Czy rzeczywiście to wdrożyłeś? Jakieś zabawne szczegóły do ​​udostępnienia?
Arjan