¿Cómo eliminar automáticamente el historial de Flash / rastro de privacidad? ¿O evitar que Flash lo almacene?

47

Muchas personas han oído hablar de cookies de terceros, y algunos navegadores incluso las bloquean de forma predeterminada. Algunas personas incluso pueden estar usando los modos de Navegación Privada. Sin embargo, solo unos pocos parecen darse cuenta de que el reproductor Flash de Adobe también deja un rastro de navegador cruzado en su disco duro local y permite enviar información similar a cookies al servidor, incluidos los sitios de terceros. Y debido a que es un complemento, Flash no tiene en cuenta ninguna de las configuraciones de privacidad del navegador.

Perdón por la publicación larga, pero primero algunos detalles sobre por qué usar Flash plantea una preocupación de privacidad, seguido de los resultados de mis pruebas:

  • El reproductor Flash mantiene un historial de navegador cruzado de los nombres de dominio de los sitios Flash que su computadora ha visitado. A diferencia del historial de su navegador, este historial no se limita a un cierto número de días. El historial también se registra al usar los llamados modos de navegación privada. Se almacena en su disco duro (aunque, como se describe a continuación, sin ir al sitio de Adobe no sabrá qué está almacenado).
  • No estoy seguro de si se mantiene alguna información de fecha y hora sobre cada visita, pero para ver los nombres de dominio: haga clic derecho en algún contenido Flash, abra el cuadro de diálogo de configuración y haga clic en el icono Ayuda o haga clic en el botón Avanzado dentro de la pestaña Privacidad . Esto abre un navegador a las páginas de ayuda en Adobe.com, donde se puede hacer clic en el panel de Configuración de almacenamiento del sitio web .
  • Se puede borrar la lista existente, pero no se puede evitar que se vuelva a grabar.

  • Flash permite almacenar datos en su disco duro local, utilizando los llamados objetos locales compartidos (también conocidos como "cookies de Flash"). Al igual que las cookies HTTP, estos datos pueden enviarse de vuelta al servidor, con fines de seguimiento. Son de navegador cruzado, no tienen fecha de vencimiento y tampoco se puede establecer una duración máxima definida por el usuario en las preferencias de Flash. Estas no son cookies HTTP, (por supuesto) no están bloqueadas por las preferencias de cookies de un navegador y no se eliminan cuando se eliminan las cookies HTTP normales. Adobe ha anunciado que la versión 10.1 obedecerá a la Navegación Privada en los navegadores más populares, pero desafortunadamente no se sabe nada sobre la eliminación de los datos cuando las cookies normales se eliminan manualmente. Y su implementación puede ser confusa:

    [..] si el navegador está en modo de navegación normal cuando se crea la instancia de Flash Player, entonces esa instancia particular estará siempre en modo de navegación normal (la navegación privada está desactivada). En consecuencia, activar o desactivar la navegación privada sin actualizar la página o cerrar la ventana de navegación privada no afectará a Flash Player.

  • Los objetos compartidos locales no se limitan al sitio que visita, y el almacenamiento de terceros está habilitado de forma predeterminada. En el panel de Configuración de almacenamiento global , se puede anular la selección de Permitir que el contenido Flash de terceros almacene datos en su computadora . Debido a la naturaleza entre navegadores y sin vencimiento (y al hecho de que pocas personas lo saben), creo que las Cookies Flash de terceros entre navegadores son más peligrosas para el seguimiento de visitantes que las cookies HTTP normales de terceros. Incluso se usan para restaurar cookies HTTP simples que el usuario intentó eliminar:

    "Todos los anunciantes, sitios web y redes usan cookies para publicidad dirigida, pero las cookies están bajo ataque. Según la investigación actual, el 40% de los usuarios las están borrando, creando problemas serios", dice Mookie Tenembaum, fundador de United Virtualities. "Desde la limitación de frecuencia simple hasta la orientación de comportamiento más sofisticada, las cookies son una parte esencial de cualquier campaña publicitaria en línea. PIE [" Elemento de identificación persistente "] brindará a los editores y proveedores de terceros una copia de seguridad persistente de las cookies, dejándolas efectivamente inatacables " , agrega Tenembaum.

    [..] Para justificar este mecanismo de seguimiento, Tenembaum de UV dijo: "El usuario no es lo suficientemente competente en tecnología para saber si la cookie es buena o mala, o cómo funciona".

  • Al seleccionar Ninguno (cero KB) para Especificar la cantidad de espacio en disco que los sitios web del sitio web que aún no ha visitado pueden usar para almacenar información en su computadora , y al marcar Nunca preguntar nuevamente , algunos sitios no funcionan. Sin embargo, el mismo sitio podría funcionar al configurarlo en Ninguno, pero sin seleccionar Nunca volver a preguntar , y luego elegir Denegar cuando se le solicite . Ambas opciones resultarían en cero KB de datos permitidos, pero el comportamiento difiere.
  • El complemento también proporciona un caché de Flash Player para archivos firmados por Adobe. Supongo que estos archivos no son un problema.

Entonces: ¿cómo eliminar automáticamente esa información?

En una Mac, se puede encontrar un settings.solarchivo y una carpeta para cada sitio web Flash visitado en:

$ HOME / Biblioteca / Preferencias / Macromedia / Flash Player / macromedia.com / support / flashplayer / sys /

Al eliminar el settings.solarchivo y todas las carpetas sys, se elimina el rastro de los paneles de configuración. Sin embargo, los Objetos locales compartidos reales están en otra parte (consulte Wikipedia para conocer las ubicaciones en otros sistemas operativos), en una subcarpeta denominada al azar de:

$ HOME / Biblioteca / Preferencias / Macromedia / Flash Player / # SharedObjects

Pero entonces: ¿cómo eliminar esto automáticamente? Simplemente eliminar las carpetas y el settings.solarchivo de vez en cuando (como mediante el uso del launchdProgramador de tareas de Windows) puede interferir con los navegadores activos. ¿O es seguro asumir que, dada la naturaleza del navegador cruzado, al complemento no le importaría si las cosas se eliminan mientras está activo? Solo borrar durante el cierre de sesión puede no funcionar para aquellos que hibernan todo el tiempo.

Los usuarios de Firefox pueden instalar BetterPrivacy u Objeción para eliminar los objetos locales compartidos (también para todos los demás navegadores). No sé si eso también elimina el rastro de los nombres de dominio del sitio web.

O: ¿cómo evitar que Flash almacene un rastro de la historia?

Cambio de planes: Estoy probando actualmente prohíbe Flash para escribir en su propio sysy #SharedObjectscarpetas. Hasta ahora, Flash no ha intentado restaurar los permisos (aunque, al eliminar las carpetas, Flash, por supuesto, las volverá a crear). No he encontrado ningún problema, pero esto puede tomar un tiempo para validar, usando múltiples navegadores y sitios. Todavía no he encontrado un registro que informe errores. En una Mac:

cd "$ HOME / Library / Preferences / Macromedia / Flash Player / macromedia.com / support / flashplayer"
rm -r sys / *
chmod uw sys

cd "$ HOME / Library / Preferences / Macromedia / Flash Player"
# preserva las subcarpetas nombradas al azar (solo sería suficiente con la última; ver más abajo)
rm -r \ #SharedObjects / * / *
chmod -R uw \ #SharedObjects

Supongo que lo anterior chmodno se puede lograr en un sistema antiguo de Windows (no estoy seguro acerca de XP y Vista?). ¿Aunque tal vez en Windows uno podría reemplazar las carpetas sys y #SharedObjectscon archivos ficticios con los mismos nombres? ¿Nadie?

Obviamente, evitar que Flash almacene esos objetos locales compartidos para todos los sitios puede causar problemas. Algunos resultados de la prueba (Flash 10 en Mac OS X):

  • Al bloquear la syscarpeta (incluso cuando se deja la #SharedObjectscarpeta en la que se puede escribir), YouTube no recordará su configuración de volumen mientras ve múltiples videos. Permitir temporalmente el acceso de escritura a las carpetas bloqueadas mientras visita sitios de confianza (para crear solo carpetas para los dominios que desee, tal vez incluyendo referencias settings.sol) lo resuelve. De esta manera, para YouTube, se podría permitir que Flash escribiera sys/#s.ytimg.comy #SharedObjects/s.ytimg.com, mientras que Flash no podría crear nuevas carpetas para otros dominios. También es posible que tenga que hacer settings.solsolo lectura después o borrarlo nuevamente.
  • Al bloquear las carpetas sysy #SharedObjects, YouTube y Vimeo funcionan bien (aunque es posible que no recuerden ninguna configuración). Sin embargo, Bits on the Run se niega incluso a mostrar el reproductor de video. Esto se resuelve desbloqueando temporalmente la #SharedObjectscarpeta, para permitir que Flash cree una subcarpeta con algún nombre aleatorio. Dentro de esta carpeta, crearía otra carpeta para el sitio web actual de Flash ( content.bitsontherun.com). La eliminación de esa carpeta específica del sitio web y el bloqueo de ambas #SharedObjectsy la subcarpeta nombrada al azar, todavía parece permitir que Bits on the Run funcione, aunque todavía no puede escribir nada en el disco. Entonces: la existencia de la subcarpeta nombrada al azar (incluso cuando está protegida contra escritura) es importante para algunos sitios.
  • Cuando encontré la #SharedObjectscarpeta por primera vez , contenía muchas subcarpetas con nombres aleatorios, algunos creados el mismo día. Me pregunto cuándo Flash decide que quiere una nueva carpeta y cómo determina (y recuerda) ese nombre aleatorio.
  • Por un momento, consideré no bloquear el acceso de escritura para sysy #SharedObjects, sino crear explícitamente carpetas de solo lectura para dominios de seguimiento de terceros conocidos (como en base a una lista de, por ejemplo, AdBlock Plus). De esa manera, cualquier otro dominio aún podría crear objetos locales compartidos. Pero la lista sería larga, y los dominios de AdBlock Plus probablemente sean todos dominios de terceros de todos modos, por lo que deshabilitar Permitir que el contenido Flash de terceros almacene datos en su computadora podría tener el mismo resultado.

Alguna experiencia alguien?

(Notas finales: si los enlaces anteriores a los paneles de configuración no funcionan en el futuro, utilice la URL que Flash Player conoce como punto de partida: www.adobe.com/go/settingsmanager . Consulte también " Eliminó su Cookies? Piense de nuevo "en Wired.com, que también utiliza cookies Flash ... Para los muy sospechosos que usan Time Machine: es posible que desee excluir ambas carpetas, para cada usuario, y eliminar el rastro que ya está en su apoyo.)

browser  flash-player  privacy-protection 
Arjan
fuente
14
He considerado este problema como un grave defecto de diseño del navegador desde que lo encontré por primera vez. La solución ideal sería que las interfaces de los complementos del navegador web se extendieran para que el navegador pudiera indicar a todos los complementos que borren sus memorias caché respectivas, o requerir que los complementos coloquen sus cachés en una carpeta que el navegador puede purgar cuando lo desee a. Sin embargo, hasta que los desarrolladores de navegadores resuelvan este problema para nosotros, su pregunta es muy relevante.
Chris W. Rea
Y supongo que una solución provisional podría ser una simple advertencia al cambiar la configuración de cookies o historial, o al iniciar un modo de navegación privada. Pero, sobre todo, culpo a Adobe por el defecto de permitir el almacenamiento de terceros.
Arjan el
Hmmm, algo que debo analizar algún día: las cookies retrasadas de YouTube, no relacionadas con Flash, a menos que también sean cookies Flash. google.com/support/youtube/bin/answer.py?answer=141046
Arjan
Consulte también "Cookies flash y privacidad" en papers.ssrn.com/sol3/papers.cfm?abstract_id=1446862 , con su resumen: encontramos que más del 50% de los sitios de nuestra muestra están usando cookies flash para almacenar información sobre el usuario. Algunos lo están utilizando para 'reaparecer' o reiniciar las cookies HTTP eliminadas por el usuario. Las cookies flash a menudo comparten los mismos valores que las cookies HTTP, e incluso se usan en sitios web gubernamentales para asignar valores únicos a los usuarios. Las políticas de privacidad rara vez revelan la presencia de cookies Flash, y faltan controles de usuario para efectuar preferencias de privacidad.
Arjan
2
Adobe está aprendiendo: desde enero de 2011 Sobre la mejora de la privacidad: Gestión del almacenamiento local en Flash Player : Representantes de varias compañías clave, incluidas Adobe, Mozilla y Google, han estado trabajando juntas para definir una nueva API de navegador (NPAPI ClearSiteData) para borrar los datos locales, que se aprobó para su implementación el 5 de enero de 2011. Cualquier navegador que implemente la API podrá borrar el almacenamiento local de cualquier complemento que también implemente la API.
Arjan

Respuestas:

5

Implementé la solución que describiste en Mac hace unos meses. Sí impidió el seguimiento, pero evitó que algunas aplicaciones Flash más complicadas (cualquier cosa con persistencia entre sesiones, más obviamente juegos Flash con seguimiento de progreso) funcionen correctamente, o en absoluto. Finalmente me cansé de solucionar problemas y eliminé los bloqueos de carpetas.

Mi solución provisional es usar un bloqueador de Flash. Como solo cargo objetos Flash para sitios en los que confío (como YouTube ), las preocupaciones de privacidad se mitigan, si no se eliminan.

redactado
fuente
Cuando respondiste, mi pregunta solo mencionaba la syscarpeta. Mientras tanto, Wikipedia también me ha ayudado a encontrar una #SharedObjectscarpeta. ¿Qué carpeta bloqueaste?
Arjan el
Creo que fue ~ / Library / Preferences / Macromedia / Flash \ Player que bloqueé. Eso impidió escribir en 'sys' y '#SharedObjects', ¡pero no fue muy sutil!
Redactado el
¿Qué bloqueador de flash usas?
alex
@alex - rentzsch.github.com/clicktoflash funciona perfectamente para Safari / Webkit. No se requieren hacks!
Redactado el
La segunda sugerencia de @ redacted (ClickToFlash) funciona fantásticamente.
Alex
12

Si usa Firefox, entonces tiene la extensión BetterPrivacy . Elimina LSOs durante la salida. Y, por supuesto, puede usar Flashblock o NoScript para mayor seguridad.

Actualización : desde 10.1 Flash no almacena LSO si está en modo de navegación privada.

KovBal
fuente
Love BetterPrivacy. Instalar y olvidar.
Travis
Actualización incorrecta No almacena tercera parte de LSO. Es realmente una pieza de software bastante despreciable.
chiggsy
@chiggsy, no puedo confirmar que solo está negando LSO de terceros en los modos de privacidad. Probé con Flash 11.0.1.152 en la última Safari y Chrome en OS X Lion. Sí, todo lo que esté almacenado está disponible durante la misma sesión (pero no en otros navegadores). Pero los datos no parecen estar almacenados en el disco. No he probado si la afirmación anterior de Adobe sigue siendo cierta: [..] activar o desactivar la navegación privada sin actualizar la página o cerrar la ventana de navegación privada no afectará a Flash Player.
Arjan
En cuanto a BetterPrivacy, no solo admite la limpieza al salir (lo que rara vez hago con mis navegadores), sino también: [...] o mediante una función de temporizador configurable, mientras que ciertas cookies Flash deseadas pueden excluirse de la eliminación automática .
Arjan
3

Creo que en Windows CCleaner lo borrará.

Moshen
fuente
1
De hecho, lo hace, aunque no pude encontrar fácilmente esa información en www.ccleaner.com, pero tienes razón, está en los registros de cambios en ccleaner.com/download/version-history (que son un poco extraños, ya que parece haberse agregado soporte para limpiar Flash Player en varias versiones ...?)
Arjan el
2

He creado un script de lanzamiento de Mac OS X que elimina continuamente sus cookies flash.

Simplemente cambie REPLACEME con su nombre de usuario y guarde este archivo en ~ / Library / LaunchAgents / RemoveFlashCookies.plist. Reinicie para cargar el script.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>  
    <key>Label</key>
    <string>Remove Flash Cookies</string>
    <key>ProgramArguments</key>
    <array> 
        <string>rm</string>
        <string>-rf</string>
        <string>/Users/REPLACEME/Library/Preferences/Macromedia</string>
    </array>
    <key>OnDemand</key>
    <false/>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>
Frederik
fuente
Creo que la clave WatchPaths para launchd ayudaría mucho aquí. En lugar de bucle ocupado, simplemente active el trabajo cuando la ruta se actualice.
chiggsy
1

Solo una idea:

Intenta usar:

hdiutil -shadow   # lots more besides this, I just thought of  it.

y montando los caminos como solo lectura. Deje que Flash escriba en el archivo de sombra y mantenga un estado conocido de ese directorio. Voy a intentar lo mismo con TopSites y esa base de datos de imágenes de páginas web que toma Safari.

¿Por qué?

Porque no quiero borrar los datos. Deseo enviarles de vuelta los datos modificados. De esa manera también puedo jugar en este juego de minería de datos.

chiggsy
fuente
¡Solo hoy vi tu publicación! ¿Realmente implementaste esto? ¿Algún detalle divertido para compartir?
Arjan
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.