web-dev-qa-db-fra.com

Comment supprimer automatiquement l'historique Flash / la piste de confidentialité? Ou arrêtez Flash de le stocker?

De nombreuses personnes ont entendu parler de cookies tiers et certains navigateurs les bloquent même par défaut. Certaines personnes peuvent même utiliser les modes de navigation privée. Cependant, seuls quelques-uns semblent se rendre compte que le lecteur Flash d'Adobe laisse également une trace de navigation croisée sur votre disque dur local et permet de renvoyer des informations de type cookie au serveur, y compris à des sites tiers. Et comme il s'agit d'un plugin, Flash ne prend en compte aucun des paramètres de confidentialité du navigateur.

Désolé pour le long post, mais d'abord quelques détails sur les raisons pour lesquelles l'utilisation de Flash soulève un problème de confidentialité, puis les résultats de mes tests:

  • Flash Player conserve un historique de tous les navigateurs sur les noms de domaine des sites Flash que votre ordinateur a visités. Contrairement à l'historique de votre navigateur, cet historique ne se limite pas à un certain nombre de jours. L'historique est également enregistré lors de l'utilisation de ce que l'on appelle les modes de navigation privée. Il est stocké sur votre disque dur (cependant, comme décrit ci-dessous, sans consulter le site d'Adobe, vous ne saurez pas ce qui est stocké).
  • Je ne sais pas si des informations de date et d'heure sont conservées à propos de chaque visite, mais pour voir les noms de domaine: faites un clic droit sur un contenu Flash, ouvrez la boîte de dialogue des paramètres, puis cliquez sur l'icône Aide ou sur le bouton Avancé. dans l’onglet Confidentialité . Cela ouvre un navigateur aux pages d’aide sur Adobe.com, où vous pouvez cliquer sur le Panneau Paramètres de stockage du site Web .
  • On peut effacer la liste existante, mais on ne peut empêcher son enregistrement de nouveau.

  • Flash permet de stocker des données sur votre disque dur local, en utilisant ce que l’on appelle objets partagés locaux (ou "cookies Flash"). Tout comme les cookies HTTP, ces données peuvent être renvoyées au serveur à des fins de suivi. Ils sont inter-navigateurs, n'ont pas de date d'expiration et aucune durée de vie maximale définie par l'utilisateur ne peut être définie dans les préférences Flash. Ce ne sont pas des cookies HTTP, ils ne sont (bien sûr) pas bloqués par les préférences de cookies du navigateur et ne sont pas supprimés lorsque les cookies HTTP normaux sont supprimés. Adobe a annoncé que la version 10.1 obéirait à la navigation privée sur les navigateurs les plus répandus, mais malheureusement, aucun mot sur la suppression des données lorsque les cookies normaux sont supprimés manuellement. Et sa mise en œuvre pourrait être déroutante:

    [..] si le navigateur est en mode de navigation normale lors de la création de l'instance de Flash Player, cette instance particulière sera toujours en mode de navigation normale (la navigation privée est désactivée). Par conséquent, l'activation ou la désactivation de la navigation privée sans actualisation de la page ni fermeture de la fenêtre de navigation privée n'a pas d'incidence sur Flash Player.

  • Les objets partagés locaux ne se limitent pas au site que vous visitez, et le stockage tiers est activé par défaut. Dans le panneau Paramètres de stockage globaux , vous pouvez désélectionner la valeur par défaut Autoriser le contenu Flash tiers. pour stocker des données sur votre ordinateur . En raison de la nature multi-navigateur et sans expiration (et du fait que peu de gens le connaissent), j’ai l’impression que les cookies Flash tiers de plusieurs navigateurs sont plus dangereux pour le suivi des visiteurs que les cookies HTTP normaux de tierces parties. Ils sont même utilisés pour restaurer les cookies HTTP simples que l'utilisateur a tenté de supprimer:

    "Tous les annonceurs, sites Web et réseaux utilisent des cookies pour la publicité ciblée, mais les cookies sont attaqués. Selon les recherches actuelles, 40% des utilisateurs sont en train de les effacer, ce qui crée des problèmes sérieux" , dit Mookie Tenembaum , fondateur de United Virtualities. "Du simple plafonnement de la fréquence au ciblage comportemental plus sophistiqué, les cookies sont un élément essentiel de toute campagne publicitaire en ligne. PIE [" Élément d'identification persistante "] donnera aux éditeurs et aux fournisseurs tiers une sauvegarde permanente des cookies de manière efficace. les rendant inattaquables ", ajoute Tenembaum.

    [..] Pour justifier ce mécanisme de suivi, Tenembaum d'UV a déclaré "L'utilisateur n'est pas assez expérimenté en technologie pour savoir si le cookie est bon ou mauvais ou son fonctionnement."

  • Lorsque vous sélectionnez Aucun (zéro Ko) pour Spécifiez la quantité d'espace disque que les sites Web de sites Web que vous n'avez pas encore consultés peuvent utiliser pour stocker des informations sur votre ordinateur , et en vérifiant Ne plus jamais demander , certains sites ne fonctionnent pas. Cependant, le même site peut fonctionner lorsqu'il est défini sur Aucun mais sans sélectionner ne plus jamais demander , puis choisir Refuser chaque fois que est invité . Dans les deux cas, zéro Ko de données est autorisé, mais le comportement diffère.
  • Le plugin fournit également un cache Flash Player pour les fichiers signés par Adobe. Je suppose que ces fichiers ne sont pas un problème.

Donc: comment supprimer automatiquement cette information?

Sur un Mac, on peut trouver un fichier settings.sol et un dossier pour chaque site Web Flash visité dans:

$ HOME/Bibliothèque/Préférences/Macromedia/Flash Player/macromedia.com/support/flashplayer/sys /

La suppression du fichier settings.sol et de tous les dossiers de sys supprime la trace des panneaux de paramètres. Cependant, les objets partagés locaux réels se trouvent ailleurs (voir Wikipedia pour les emplacements sur d'autres systèmes d'exploitation), dans un sous-dossier nommé de manière aléatoire:

$ HOME/Bibliothèque/Préférences/Macromedia/Flash Player/# SharedObjects

Mais alors: comment supprimer cela automatiquement? Supprimez simplement les dossiers et le fichier settings.sol de temps en temps (comme en utilisant launchd ou le Planificateur de tâches de Windows) peut interférer avec les navigateurs actifs. Ou est-il prudent de supposer que, compte tenu de la nature des navigateurs, le plug-in ne se soucie pas de savoir si les choses sont supprimées tant qu'il est actif? Seul le nettoyage pendant la déconnexion peut ne pas fonctionner pour ceux qui hibernent tout le temps.

Les utilisateurs de Firefox peuvent installer BetterPrivacy ou Objection pour supprimer les objets partagés locaux ( pour tous les autres navigateurs également). Je ne sais pas si cela supprime également la trace des noms de domaine de sites Web.

Ou: comment empêcher Flash de stocker une trace de l'historique?

Changement de plan: J'essaie actuellement d'interdire à Flash d'écrire dans ses propres dossiers sys et #SharedObjects. Jusqu'à présent, Flash n'a pas essayé de restaurer les autorisations (bien entendu, lors de la suppression des dossiers, Flash les recréera). Je n'ai rencontré aucun problème, mais la validation peut prendre un certain temps, en utilisant plusieurs navigateurs et sites. Je n'ai pas encore trouvé de journal qui rapporte des erreurs. Sur un Mac:

cd "$ HOME/Bibliothèque/Préférences/Macromedia/Flash Player/macromedia.com/support/flashplayer"
rm -r sys/*
chmod u-w sys

cd "$ HOME/Bibliothèque/Préférences/Macromedia/Flash Player"
# conserver les sous-dossiers nommés de manière aléatoire (ne conserver que les derniers en suffirait; voir ci-dessous)
rm -r\#SharedObjects/*/*
chmod -R u-w\#SharedObjects

Je suppose que la chmods ci-dessus ne peut pas être obtenue sur un ancien système Windows (je ne suis pas sûr de XP et de Vista?). Bien que peut-être sous Windows, on pourrait remplacer les dossiers sys et #SharedObjects par des fichiers factices portant le même nom? N'importe qui?

Évidemment, empêcher Flash de stocker ces objets partagés locaux pour tous les sites peut poser des problèmes. Quelques résultats de test (Flash 10 sur Mac OS X):

  • Lors du blocage du dossier sys (même en laissant le dossier #SharedObjects en écriture), alors YouTube ne se souviendra pas de vos paramètres de volume lors de la visualisation de plusieurs vidéos. Autoriser temporairement l'accès en écriture aux dossiers bloqués lors de la visite de sites de confiance (pour uniquement créer des dossiers pour les domaines que vous aimez, éventuellement en incluant des références dans settings.sol), cela résout le problème. Ainsi, pour YouTube, Flash pourrait être autorisé à écrire dans sys/#s.ytimg.com et #SharedObjects/s.ytimg.com, tandis que Flash ne pourrait pas créer de nouveaux dossiers pour d'autres domaines. Il peut également être nécessaire de faire ensuite settings.sol en lecture seule ou de le supprimer à nouveau.
  • Lorsque vous bloquez les dossiers sys et #SharedObjects, YouTube et Vimeo fonctionnent correctement (même s'ils ne se souviennent peut-être pas des paramètres). Cependant, Bits en fuite refuse même de montrer le lecteur vidéo. Pour résoudre ce problème, débloquez temporairement le dossier #SharedObjects afin de permettre à Flash de créer un sous-dossier portant un nom aléatoire. Dans ce dossier, un autre dossier serait créé pour le site Web Flash actuel (content.bitsontherun.com). La suppression de ce dossier spécifique au site Web, ainsi que le blocage de #SharedObjects et du sous-dossier nommé de manière aléatoire, semblent toujours permettre à Bits on the Run de fonctionner, même s'il ne peut toujours rien écrire sur le disque. Ainsi: l’existence du sous-dossier nommé de manière aléatoire (même en écriture protégée) est importante pour certains sites.
  • Lorsque j'ai trouvé le dossier #SharedObjects pour la première fois, il contenait de nombreux sous-dossiers avec des noms aléatoires, certains créés le même jour. Je me demande quand Flash décide qu'il veut un nouveau dossier et comment il détermine (et se souvient) ce nom aléatoire.
  • Pendant un moment, j'ai envisagé de ne pas bloquer l'accès en écriture pour sys et #SharedObjects, mais de créer explicitement des dossiers en lecture seule pour des domaines de suivi tiers connus (comme ceux basés sur une liste, par exemple, AdBlock Plus). De cette façon, tout autre domaine pourrait toujours créer des objets partagés locaux. Mais la liste serait longue et les domaines de AdBlock Plus sont probablement tous des domaines tiers, alors désactivez . Autorisez le contenu Flash tiers à stocker des données sur votre ordinateur . même résultat.

Toute expérience quelqu'un?

(Remarques finales: si les liens ci-dessus vers les panneaux de paramètres ne fonctionnent plus, utilisez l’URL connue de Flash Player comme point de départ: www.Adobe.com/go/settingsmanager . Voir aussi " Vous avez supprimé vos cookies? Repensez-vous " sur Wired.com - qui utilise Flash les cookies lui-même également ... Pour les utilisateurs très suspects de Time Machine: vous pouvez vouloir exclure les deux dossiers, pour chaque utilisateur, et supprimer la trace est déjà sur votre sauvegarde.)

browserflash-playerprivacy-protection
47
Arjan

J'ai mis en œuvre la solution que vous avez décrite sur Mac il y a quelques mois. Cela empêchait le suivi, mais cela empêchait quelques applications Flash plus compliquées (tout ce qui persisterait entre les sessions, le plus évidemment les jeux Flash avec suivi des progrès) de fonctionner correctement ou pas du tout. Finalement, je me suis fatigué de dépanner et j'ai enlevé les verrous de dossiers.

Ma solution provisoire utilise un bloqueur Flash. Comme je ne charge que des objets Flash pour des sites de confiance (tels que YouTube ), les problèmes de confidentialité sont atténués, voire supprimés.

5
redacted

Si vous utilisez Firefox, vous avez l'extension BetterPrivacy . Il supprime les LSO lors de la sortie. Et bien sûr, vous pouvez utiliser Flashblock ou NoScript pour plus de sécurité.

Mise à jour : Depuis 10.1, Flash ne stocke pas les LSO si vous êtes en mode de navigation privée.

12
KovBal

Je pense que sur Windows , CCleaner va l'effacer.

3
moshen

J'ai créé un script launchd script qui supprime en permanence vos cookies flash.

Modifiez simplement REPLACEME avec votre nom d'utilisateur et enregistrez ce fichier sous ~/Library/LaunchAgents/RemoveFlashCookies.plist. Redémarrez pour charger le script.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.Apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>  
    <key>Label</key>
    <string>Remove Flash Cookies</string>
    <key>ProgramArguments</key>
    <array> 
        <string>rm</string>
        <string>-rf</string>
        <string>/Users/REPLACEME/Library/Preferences/Macromedia</string>
    </array>
    <key>OnDemand</key>
    <false/>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>
2
Frederik

Juste une idée:

Essayez d'utiliser:

hdiutil -shadow   # lots more besides this, I just thought of  it.

et monter les chemins en lecture seule. Laissez Flash écrire dans le fichier shadow et conservez un état connu de ce répertoire. Je vais essayer la même chose avec TopSites et cette base de données d'images de pages Web prise par Safari.

Pourquoi?

Parce que je ne veux pas effacer les données. Je souhaite leur renvoyer des données modifiées. De cette façon, je peux aussi jouer à ce jeu d’exploration de données.

1
chiggsy