Como remover automaticamente o histórico do Flash / trilha de privacidade? Ou parar o Flash de armazená-lo?

47

Muitas pessoas ouviram falar de cookies de terceiros, e alguns navegadores até os bloqueiam por padrão. Algumas pessoas podem até estar usando os modos de Navegação Privada. No entanto, poucos parecem perceber que o Flash player da Adobe também deixa uma trilha entre navegadores no disco rígido local e permite o envio de informações semelhantes a cookies de volta ao servidor, incluindo sites de terceiros. E por ser um plug-in, o Flash não leva em consideração nenhuma das configurações de privacidade do navegador.

Desculpe pela publicação longa, mas primeiro alguns detalhes sobre o uso do Flash suscitam uma preocupação com a privacidade, seguidos pelos resultados dos meus testes:

  • O Flash player mantém um histórico entre navegadores dos nomes de domínio dos sites em Flash visitados pelo seu computador. Diferentemente do histórico do seu navegador, esse histórico não se limita a um determinado número de dias. O histórico também é gravado ao usar os chamados modos de Navegação Privada. Ele é armazenado no seu disco rígido (porém, conforme descrito abaixo, sem acessar o site da Adobe, você não saberá o que está armazenado).
  • Não tenho certeza se alguma informação de data e hora é mantida sobre cada visita, mas para ver os nomes de domínio: clique com o botão direito do mouse em algum conteúdo do Flash, abra a caixa de diálogo de configurações e clique no ícone Ajuda ou clique no botão Avançado na guia Privacidade . Isso abre um navegador para as páginas de ajuda no Adobe.com, onde é possível clicar no painel Configurações de armazenamento do site .
  • Pode-se limpar a lista existente, mas não pode impedir que ela seja gravada novamente.

  • O Flash permite armazenar dados no disco rígido local, usando os chamados Objetos Locais Compartilhados (também conhecidos como "Flash Cookies"). Assim como os cookies HTTP, esses dados podem ser enviados de volta ao servidor, para fins de rastreamento. Eles são cross-browser, não têm data de validade e nenhum tempo de vida útil definido pelo usuário também pode ser definido nas preferências do Flash. Por não serem cookies HTTP, eles (é claro) não são bloqueados pelas preferências de cookies de um navegador e não são removidos quando os cookies HTTP normais são excluídos. A Adobe anunciou que a versão 10.1 obedecerá à Navegação Privada nos navegadores mais populares, mas infelizmente não há nenhuma palavra sobre a remoção dos dados sempre que os cookies normais são excluídos manualmente. E sua implementação pode ser confusa:

    [..] se o navegador estiver no modo de navegação normal quando a instância do Flash Player for criada, essa instância em particular estará sempre no modo de navegação normal (a navegação privada está desativada). Assim, ativar ou desativar a navegação privada sem atualizar a página ou fechar a janela de navegação privada não afetará o Flash Player.

  • Os Objetos Compartilhados Locais não se limitam ao site que você visita e o armazenamento de terceiros é ativado por padrão. No painel Configurações de armazenamento global , é possível cancelar a seleção do padrão Permitir que conteúdo em Flash de terceiros armazene dados em seu computador . Por causa da natureza entre navegadores e sem expiração (e pelo fato de poucas pessoas saberem sobre isso), sinto que os cookies Flash de terceiros são mais perigosos para o rastreamento de visitantes do que os cookies HTTP normais de terceiros. Eles são usados até para restaurar cookies HTTP simples que o usuário tentou excluir:

    "Todos os anunciantes, sites e redes usam cookies para publicidade direcionada, mas os cookies estão sob ataque. Segundo a pesquisa atual, eles estão sendo apagados por 40% dos usuários, criando problemas sérios", diz Mookie Tenembaum, fundador da United Virtualities. "Desde o limite de frequência simples até a segmentação comportamental mais sofisticada, os cookies são uma parte essencial de qualquer campanha publicitária on-line. O PIE [" Elemento de identificação persistente "] fornecerá aos editores e terceiros um backup persistente dos cookies, tornando-os inatacáveis , " acrescenta Tenembaum.

    [..] Para justificar esse mecanismo de rastreamento, Tenembaum, da UV, disse: "O usuário não é proficiente em tecnologia para saber se o cookie é bom ou ruim, ou como funciona".

  • Ao selecionar Nenhum (zero KB) para Especifique a quantidade de espaço em disco que os sites que você ainda não visitou podem usar para armazenar informações no seu computador e, marcando Nunca perguntar novamente , alguns sites não funcionam. No entanto, o mesmo site pode funcionar ao defini-lo como Nenhum, mas sem selecionar Nunca perguntar novamente e, em seguida, escolha Negar sempre que solicitado . Ambas as opções resultariam em zero KB de dados permitidos, mas o comportamento é diferente.
  • O plug-in também fornece um cache do Flash Player para arquivos assinados pela Adobe. Eu acho que esses arquivos não são um problema.

Então: como excluir automaticamente essas informações?

Em um Mac, é possível encontrar um settings.solarquivo e uma pasta para cada site Flash visitado em:

$ HOME / Biblioteca / Preferências / Macromedia / Flash Player / macromedia.com / support / flashplayer / sys /

A exclusão do settings.solarquivo e de todas as pastas sysremove a trilha dos painéis de configurações. No entanto, os Objetos Locais Compartilhados reais estão em outro lugar (consulte a Wikipedia para locais em outros sistemas operacionais), em uma subpasta nomeada aleatoriamente de:

$ HOME / Biblioteca / Preferências / Macromedia / Flash Player / # SharedObjects

Mas então: como remover isso automaticamente? Simplesmente remover as pastas e o settings.solarquivo de vez em quando (como usar launchdo Agendador de tarefas do Windows) pode interferir nos navegadores ativos. Ou é seguro supor que, dada a natureza de vários navegadores, o plug-in não se importaria se as coisas fossem removidas enquanto estiver ativo? Somente a limpeza durante o logoff pode não funcionar para aqueles que hibernam o tempo todo.

Os usuários do Firefox podem instalar o BetterPrivacy ou Objection para excluir os Objetos Compartilhados Locais (também para todos os outros navegadores). Não sei se isso também exclui a trilha dos nomes de domínio do site.

Ou: como impedir o Flash de armazenar uma trilha histórica?

Alteração de planos: atualmente, estou testando a proibição do Flash de gravar em seus próprios arquivos syse #SharedObjectspastas. Até o momento, o Flash não tentou restaurar permissões (embora, ao excluir as pastas, o Flash as recrie). Não encontrei nenhum problema, mas isso pode levar algum tempo para validar, usando vários navegadores e sites. Ainda não encontrei um log que relate erros. Em um Mac:

cd "$ HOME / Biblioteca / Preferências / Macromedia / Flash Player / macromedia.com / support / flashplayer"
rm -r sys / *
chmod uw sys

cd "$ HOME / Biblioteca / Preferências / Macromedia / Flash Player"
# preserva as subpastas nomeadas aleatoriamente (apenas preservar as mais recentes seria suficiente; veja abaixo)
rm -r \ #SharedObjects / * / *
chmod -R uw \ #SharedObjects

Eu acho que os chmods acima não podem ser alcançados em um sistema Windows antigo (não tenho certeza sobre XP e Vista?). Embora talvez no Windows se possa substituir as pastas sys e #SharedObjectspor arquivos fictícios com os mesmos nomes? Qualquer um?

Obviamente, impedir que o Flash armazene esses objetos compartilhados locais em todos os sites pode causar problemas. Alguns resultados dos testes (Flash 10 no Mac OS X):

  • Ao bloquear a syspasta (mesmo ao deixar a #SharedObjectspasta gravável), o YouTube não se lembrará das suas configurações de volume enquanto estiver visualizando vários vídeos. Permitir temporariamente o acesso de gravação às pastas bloqueadas durante a visita a sites confiáveis ​​(para criar apenas pastas para domínios que você gosta, incluindo talvez referências settings.sol), resolve isso. Dessa forma, no YouTube, o Flash pode gravar sys/#s.ytimg.come #SharedObjects/s.ytimg.com, enquanto o Flash não pode criar novas pastas para outros domínios. Também pode ser necessário fazer settings.solsomente leitura depois ou excluí-lo novamente.
  • Ao bloquear as pastas syse #SharedObjects, o YouTube e o Vimeo funcionam bem (embora eles possam não se lembrar de nenhuma configuração). No entanto, o Bits on the Run se recusa a exibir o player de vídeo. Isso é resolvido ao desbloquear temporariamente a #SharedObjectspasta, para permitir que o Flash crie uma subpasta com algum nome aleatório. Dentro dessa pasta, ele criaria outra pasta para o site atual do Flash ( content.bitsontherun.com). A remoção dessa pasta específica do site e o bloqueio #SharedObjectsda subpasta nomeada aleatoriamente ainda parece permitir a operação do Bits on the Run, mesmo que ainda não consiga gravar nada no disco. Portanto: a existência da subpasta nomeada aleatoriamente (mesmo quando protegida contra gravação) é importante para alguns sites.
  • Quando encontrei a #SharedObjectspasta, ela continha muitas subpastas com nomes aleatórios, algumas criadas no mesmo dia. Gostaria de saber quando o Flash decide que deseja uma nova pasta e como determina (e lembra) esse nome aleatório.
  • Por um momento, considerei não bloquear o acesso de gravação syse #SharedObjects, mas criar explicitamente pastas somente leitura para domínios de rastreamento de terceiros conhecidos (como com base em uma lista de, por exemplo, AdBlock Plus). Dessa forma, qualquer outro domínio ainda poderá criar objetos compartilhados locais. Mas a lista seria longa e os domínios do AdBlock Plus provavelmente são todos domínios de terceiros, portanto, desativar o recurso Permitir que conteúdo em Flash de terceiros armazene dados no seu computador pode ter o mesmo resultado.

Alguma experiência com alguém?

(Notas finais: se os links acima para os painéis de configurações não funcionarem no futuro, use o URL conhecido pelo Flash player como ponto de partida: www.adobe.com/go/settingsmanager . Consulte também " Você excluiu o seu Cookies? Pense de novo "na Wired.com - que também usa cookies Flash ... Para os usuários muito suspeitos de usar o Time Machine: você pode excluir as duas pastas de cada usuário e remover o rastreamento que já está no seu computador . cópia de segurança.)

browser  flash-player  privacy-protection 
Arjan
fonte
14
Eu considerei esse problema uma falha grave no design do navegador desde que o encontrei. A solução ideal seria que as interfaces de plug-in do navegador da Web fossem estendidas para que o navegador pudesse instruir todos os plug-ins a limpar seus respectivos caches ou exigir que os plug-ins os colocassem em uma pasta que o navegador pode limpar quando quiser para. Até que os desenvolvedores do navegador resolvam esse problema para nós, sua pergunta é muito relevante.
11139 Chris W. Rea
E acho que uma solução provisória pode ser um aviso simples ao alterar as configurações de cookie ou histórico ou ao iniciar algum modo de Navegação Privada. Mas, acima de tudo, culpo a Adobe pelo padrão de permitir armazenamento de terceiros.
Arjan
Hummm, algo que preciso analisar um dia: os cookies atrasados do YouTube - não relacionados ao Flash, a menos que sejam também cookies Flash. google.com/support/youtube/bin/answer.py?answer=141046
Arjan em
Consulte também "Cookies em Flash e Privacidade" em papers.ssrn.com/sol3/papers.cfm?abstract_id=1446862 , com seu resumo: Descobrimos que mais de 50% dos sites de nossa amostra estão usando cookies em flash para armazenar informações sobre o usuário. Alguns estão usando-o para 'reaparecer' ou re-instanciar cookies HTTP excluídos pelo usuário. Os cookies Flash geralmente compartilham os mesmos valores que os cookies HTTP e até são usados ​​em sites governamentais para atribuir valores exclusivos aos usuários. As políticas de privacidade raramente divulgam a presença de cookies Flash, e faltam controles do usuário para efetuar preferências de privacidade.
Arjan
2
A Adobe está aprendendo: a partir de janeiro de 2011, Sobre a melhoria da privacidade: gerenciando o armazenamento local no Flash Player : representantes de várias empresas importantes, incluindo Adobe, Mozilla e Google, estão trabalhando juntos para definir uma nova API do navegador (NPAPI ClearSiteData) para limpar dados locais, que foi aprovado para implementação em 5 de janeiro de 2011. Qualquer navegador que implemente a API poderá limpar o armazenamento local de qualquer plug-in que também implemente a API.
Arjan

Respostas:

5

Eu implementei a solução que você descreveu no Mac há alguns meses atrás. Isso impediu o rastreamento, mas impediu que alguns aplicativos Flash mais complicados (qualquer coisa com persistência entre as sessões, obviamente jogos em Flash com rastreamento de progresso) funcionassem corretamente ou de todo. Eventualmente, eu me cansei de solucionar problemas e removi os bloqueios de pasta.

Minha solução provisória está usando um bloqueador de Flash. Como apenas carrego objetos Flash para sites nos quais confio (como o YouTube ), as preocupações com a privacidade são atenuadas, se não removidas.

redigido
fonte
Quando você respondeu, minha pergunta mencionou apenas a syspasta. Enquanto isso, a Wikipedia também me ajudou a encontrar uma #SharedObjectspasta. Qual pasta você bloqueou?
Arjan
Eu acho que foi ~ / Library / Preferences / Macromedia / Flash \ Player que eu travei. Isso impediu a gravação de 'sys' e '#SharedObjects', mas não foi muito sutil!
redigido
Qual bloqueador de Flash você usa?
24411 alex
@alex - rentzsch.github.com/clicktoflash funciona perfeitamente para o Safari / Webkit. Não são necessários hacks!
redigido
Segunda sugestão @ redigida (ClickToFlash) - funciona de forma fantástica.
Alex
12

Se você usa o Firefox, tem a extensão BetterPrivacy . Remove os LSOs durante a saída. E é claro que você pode usar o Flashblock ou o NoScript para segurança adicional.

Atualização : o 10.1 Flash não armazena LSOs se você estiver no modo de navegação privada.

KovBal
fonte
Ame BetterPrivacy. Instale e esqueça.
314 Travis Travis
Atualização incorreta. Ele não armazena 3rd party LSO de. É realmente um software desprezível.
chiggsy
@chiggsy, não posso confirmar que está negando apenas LSOs de terceiros nos modos de privacidade. Testei com o Flash 11.0.1.152 no mais recente Safari e Chrome no OS X Lion. Sim, o que estiver armazenado estará disponível durante a mesma sessão (mas não em outros navegadores). Mas os dados não parecem estar armazenados no disco. Não testei se a afirmação anterior da Adobe ainda é verdadeira: [...] ativar ou desativar a navegação privada sem atualizar a página ou fechar a janela de navegação privada não afetará o Flash Player.
Arjan #
Quanto ao BetterPrivacy, ele não suporta apenas a limpeza na saída (o que raramente faço nos navegadores), mas também: [...] ou por uma função de timer configurável, enquanto certos cookies Flash desejados podem ser excluídos da exclusão automática .
Arjan #
3

Eu acho que no Windows CCleaner vai limpá-lo.

moshen
fonte
11
De fato, apesar de eu não encontrar facilmente essas informações em www.ccleaner.com - mas você está certo, está nos registros de alterações em ccleaner.com/download/version-history (que são um pouco estranhos, como apoiar para limpar flash player parece ter sido adicionada em várias versões ...)?
Arjan
2

Eu criei um script launchd do Mac OS X que exclui continuamente seus cookies em flash.

Apenas altere REPLACEME com seu nome de usuário e salve este arquivo em ~ / Library / LaunchAgents / RemoveFlashCookies.plist. Reinicie para carregar o script.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>  
    <key>Label</key>
    <string>Remove Flash Cookies</string>
    <key>ProgramArguments</key>
    <array> 
        <string>rm</string>
        <string>-rf</string>
        <string>/Users/REPLACEME/Library/Preferences/Macromedia</string>
    </array>
    <key>OnDemand</key>
    <false/>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>
Frederik
fonte
Acho que a chave do WatchPaths para o lançamento ajudaria muito aqui. Em vez de loop ocupado, basta acionar o trabalho quando o caminho for atualizado.
chiggsy
1

Apenas uma ideia:

Tente usar:

hdiutil -shadow   # lots more besides this, I just thought of  it.

e montando os caminhos como somente leitura. Deixe o Flash gravar no arquivo shadow e mantenha um estado conhecido desse diretório. Vou tentar a mesma coisa com o TopSites e com o banco de dados de fotos de páginas da Web que o Safari tira.

Por quê?

Porque eu não quero apagar os dados. Desejo enviar de volta os dados modificados. Dessa forma, também posso jogar neste jogo de mineração de dados.

chiggsy
fonte
Só hoje vi seu post! Você realmente implementou isso? Algum detalhe divertido para compartilhar?
Arjan
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.