it-swarm.dev

Como remover automaticamente o histórico de Flash / trilha de privacidade? Ou parar o Flash de armazená-lo?

Muitas pessoas já ouviram falar de cookies de terceiros e alguns navegadores até os bloqueiam por padrão. Algumas pessoas podem até estar usando os modos de navegação privada. No entanto, apenas alguns parecem perceber que o Flash Player da Adobe também deixa um rastro entre navegadores em seu disco rígido local e permite o envio de informações semelhantes a cookies para o servidor, incluindo sites de terceiros. E como é um plugin, o Flash não leva em conta nenhuma das configurações de privacidade do navegador.

Desculpe pela longa postagem, mas primeiro alguns detalhes sobre o motivo pelo qual usar o Flash geram uma preocupação com a privacidade, seguidos pelos resultados dos meus testes:

  • O Flash player mantém um histórico de vários navegadores dos nomes de domínio dos sites em Flash que seu computador visitou. Ao contrário do histórico do seu navegador, esse histórico não está limitado a um determinado número de dias. O histórico também é gravado durante o uso dos chamados modos de navegação privada. Ele é armazenado no disco rígido (embora, conforme descrito abaixo, sem acessar o site da Adobe, você não saberá o que está armazenado).
  • Não tenho certeza se qualquer informação de data e hora é mantida sobre cada visita, mas para ver os nomes de domínio: clique com o botão direito do mouse em algum conteúdo em Flash, abra a caixa de diálogo de configurações e clique no ícone Ajuda ou clique em Avançado botão dentro da aba Privacy . Isso abre um navegador para páginas de ajuda no site Adobe.com, onde é possível clicar no painel de controle Website Storage Settings .
  • Pode-se limpar a lista existente, mas não se pode impedir que ela seja gravada novamente.
  • O Flash permite armazenar dados no disco rígido local, usando os chamados Objetos Compartilhados Locais (também conhecidos como "Flash Cookies"). Assim como os cookies HTTP, esses dados can podem ser enviados de volta ao servidor, para fins de rastreamento. Eles são navegadores cruzados, não têm data de expiração e nenhuma duração máxima definida pelo usuário pode ser definida nas preferências do Flash. Estes não sendo cookies HTTP, eles (obviamente) não são bloqueados pelas preferências de cookies de um navegador e não são removidos quando os cookies HTTP normais são excluídos. Adobe anuncio que a versão 10.1 irá obedecer à Navegação Privada nos navegadores mais populares, mas infelizmente não há a necessidade de remover os dados sempre que os cookies normais forem excluídos manualmente. E sua implementação pode ser confusa:

    [..] se o navegador estiver no modo de navegação normal quando a instância do Flash Player for criada, essa instância específica ficará para sempre no modo de navegação normal (a navegação privada é desativada). Assim, ativar ou desativar a navegação privada sem atualizar a página ou fechar a janela de navegação privada não afetará o Flash Player.

  • Os objetos compartilhados locais não estão limitados ao site que você visita e o armazenamento de terceiros é ativado por padrão. No painel de controle Global Storage Settings pode-se desmarcar o padrão Permitir que conteúdo Flash de terceiros armazene dados no seu computador . Devido à natureza entre navegadores e sem validade (e o fato de poucas pessoas saberem disso), acho que os Flash Cookies de terceiros entre navegadores são mais perigosos para o rastreamento de visitantes do que os cookies HTTP normais de terceiros. Eles são mesmo sados ​​para restaurar cookies HTTP simples que o usuário tentou excluir:

    "Todos os anunciantes, sites e redes usam cookies para publicidade direcionada, mas os cookies estão sob ataque. De acordo com pesquisas atuais, eles estão sendo apagados por 40% dos usuários criando sérios problemas", diz Mookie Tenembaum, fundador da United Virtualities. "Do limite de frequência simples à segmentação comportamental mais sofisticada, os cookies são uma parte essencial de qualquer campanha publicitária on-line. O PIE [" Elemento de identificação persistente "] dará aos editores e provedores de terceiros um backup persistente dos cookies efetivamente tornando-os inatacável ", acrescenta Tenembaum.

    [..] Para justificar esse mecanismo de rastreamento, o Tenembaum da UV disse, "O usuário não é proficiente o suficiente em tecnologia para saber se o cookie é bom ou ruim, ou como funciona."

  • Ao selecionar None (zero KB) para Especifique a quantidade de espaço em disco que os sites que você ainda não visitou podem usar para armazenar informações em seu computador , e verificando Nunca mais pergunte então alguns sites não funcionam. No entanto, o mesmo site pode funcionar ao configurá-lo para None mas sem selecionar Nunca perguntar novamente e, em seguida, escolher Negar sempre solicitado . Ambas as opções resultariam em zero KB de dados sendo permitidos, mas o comportamento é diferente.
  • O plug-in também fornece um cache do Flash Player para arquivos assinados da Adobe. Eu acho que esses arquivos não são um problema.

Então: como excluir automaticamente essa informação?

Em um Mac, pode-se encontrar um arquivo settings.sol e uma pasta para cada website Flash em:

$ HOME/Biblioteca/Preferências/Macromedia/Flash Player/macromedia.com/suporte/flashplayer/sys /

Excluindo o arquivo settings.sol e todas as pastas em sys, remove a trilha dos painéis de configurações. No entanto, os objetos locais compartilhados estão em outro lugar (consulte Wikipedia para locais em outros sistemas operacionais), em uma subpasta de:

$ HOME/Biblioteca/Preferências/Macromedia/Flash Player/# SharedObjects

Mas então: como remover isso automaticamente? Simplesmente remover as pastas e o arquivo settings.sol de vez em quando (como usando launchd ou o 'Agendador de tarefas' do Windows) pode interferir nos navegadores ativos. Ou é seguro assumir que, dada a natureza entre navegadores, o plugin não se importaria se as coisas fossem removidas enquanto estivesse ativo? Somente a limpeza durante o logoff pode não funcionar para aqueles que hibernam o tempo todo.

Usuários do Firefox podem instalar BetterPrivacy ou Objection para excluir os Objetos Compartilhados Locais (para todos os outros navegadores também). Não sei se isso também exclui a trilha dos nomes de domínio do site.

Ou: como impedir que o Flash armazene um histórico?

Alteração de planos: No momento, estou testando a proibição de que o Flash grave em suas próprias pastas sys e #SharedObjects. Até agora, o Flash não tentou restaurar as permissões (embora, ao excluir as pastas, o Flash as recriará). Eu não encontrei nenhum problema, mas isso pode demorar um pouco para validar, usando vários navegadores e sites. Ainda não encontrei um log que relate erros. Em um Mac:

cd "$ HOME/Biblioteca/Preferências/Macromedia/Flash Player/macromedia.com/support/flashplayer"
rm -r sys/*
chmod u-w sys

cd "$ HOME/Biblioteca/Preferências/Macromedia/Flash Player"
# preserva as subpastas nomeadas aleatoriamente (apenas preservar o mais recente seria suficiente; veja abaixo)
rm -r\#SharedObjects/*/*
chmod -R u-w\#SharedObjects

Eu acho que o chmods acima não pode ser alcançado em um sistema antigo do Windows (não tenho certeza sobre XP e Vista?). Embora talvez no Windows alguém possa substituir o folders sys e #SharedObjects com dummy files com os mesmos nomes? Qualquer um?

Obviamente, evitar que o Flash armazene esses Objetos Compartilhados Locais para todos os sites pode causar problemas. Alguns resultados de teste (Flash 10 no Mac OS X):

  • Ao bloquear a pasta sys (mesmo quando deixar a pasta #SharedObjects gravável), então YouTube não se lembrará das configurações de volume durante a exibição de vários vídeos. Permitir temporariamente o acesso de gravação às pastas bloqueadas ao visitar sites confiáveis ​​(para criar pastas para domínios que você gosta, talvez incluindo referências em settings.sol) resolve isso. Dessa forma, para o YouTube, o Flash poderia gravar em sys/#s.ytimg.com e #SharedObjects/s.ytimg.com, enquanto o Flash não poderia criar pastas new para outros domínios. Também é necessário tornar o settings.sol somente leitura depois ou excluí-lo novamente.
  • Ao bloquear as pastas sys e #SharedObjects, o YouTube e o Vimeo funcionam bem (embora possam não se lembrar de nenhuma configuração). No entanto, Bits on the Run se recusa a mostrar o player de vídeo. Isso é solucionado ao desbloquear temporariamente a pasta #SharedObjects, para permitir que o Flash crie uma subpasta com algum nome aleatório. Dentro dessa pasta, ela criaria outra pasta para o site atual do Flash (content.bitsontherun.com). Remover essa pasta específica do site e bloquear o #SharedObjects e a subpasta denominada aleatoriamente ainda parece permitir que Bits on the Run funcionem, mesmo que ainda não seja possível gravar nada no disco. Portanto, a existência da subpasta nomeada aleatoriamente (mesmo quando protegida contra gravação) é importante para alguns sites.
  • Quando encontrei pela primeira vez a pasta #SharedObjects, ela continha muitas subpastas com nomes aleatórios, algumas criadas no mesmo dia. Eu me pergunto quando o Flash decide que quer uma nova pasta, e como ela determina (e lembra) aquele nome aleatório.
  • Por um momento, considerei não bloquear o acesso de gravação para sys e #SharedObjects, mas criar explicitamente pastas somente leitura para domínios de rastreamento de terceiros conhecidos (como baseado em uma lista de, por exemplo, AdBlock Plus). Dessa forma, qualquer outro domínio ainda pode criar objetos compartilhados locais. Mas a lista seria longa e os domínios do AdBlock Plus provavelmente são todos os domínios de terceiros, portanto desabilitar Permitir que conteúdo Flash de terceiros armazene dados no seu computador possa ter o mesmo resultado.

Alguma experiência alguém?

(Notas finais: se os links acima para os painéis de configurações não funcionarem no futuro, use o URL conhecido pelo Flash player como ponto de partida: www.Adobe.com/go/settingsmanager Veja também " Você excluiu seus cookies? Pense novamente " em Wired.com - que usa cookies Flash em si também ... Para os muito suspeitos usando o Time Machine: você pode querer excluir ambas as pastas , para cada usuário e remover o rastreio que já está no seu backup.

47
Arjan

Eu implementei a solução que você descreveu no Mac há alguns meses. Isso impediu o rastreamento, mas impediu que alguns aplicativos Flash mais complicados (qualquer coisa com persistência entre sessões, mais obviamente jogos em Flash com rastreamento de progresso) operassem corretamente, ou de todo. Eventualmente, cansei de solucionar problemas e removi os bloqueios de pasta.

Minha solução provisória está usando um bloqueador de Flash. Como eu só carrego objetos Flash para sites em que eu confio (como YouTube ), as preocupações com a privacidade são mitigadas, se não removidas.

5
redacted

Se você usa o Firefox, então você tem a extensão BetterPrivacy . Remove os LSOs durante a saída. E, claro, você pode usar Flashblock ou NoScript para segurança adicional.

Atualização : Desde 10.1 o Flash não armazena LSOs se você estiver no modo de navegação privada.

12
KovBal

Eu acho que no Windows CCleaner irá limpá-lo.

3
moshen

Eu criei um script do Mac OS X launchd que elimina continuamente seus cookies flash.

Basta alterar REPLACEME com seu nome de usuário e salvar este arquivo em ~/Library/LaunchAgents/RemoveFlashCookies.plist. Reinicie para carregar o script.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.Apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>  
    <key>Label</key>
    <string>Remove Flash Cookies</string>
    <key>ProgramArguments</key>
    <array> 
        <string>rm</string>
        <string>-rf</string>
        <string>/Users/REPLACEME/Library/Preferences/Macromedia</string>
    </array>
    <key>OnDemand</key>
    <false/>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>
2
Frederik

Apenas uma ideia:

Tente usar:

hdiutil -shadow   # lots more besides this, I just thought of  it.

e montando os caminhos como somente leitura. Deixe o Flash gravar no arquivo de sombra e manter um estado conhecido desse diretório. Eu vou tentar a mesma coisa com o TopSites e aquele banco de dados de imagens de páginas web que o Safari leva.

Por quê?

Porque eu não quero apagar os dados. Desejo enviá-los de volta os dados modificados. Dessa forma eu posso jogar neste jogo de mineração de dados também.

1
chiggsy