6:45
10/11/2009

Groźne ciasteczka Flashowe

Zapewne większość z was spotkało się z internetowymi ciasteczkami i zna zasadę ich działania. O tym, jak bardzo naruszają one prywatność internautów powstało już wiele tekstów… Niektórzy paranoicy (w tym ja) albo je blokują albo regularnie usuwają, między innymi po to, żeby nie być ,,śledzonym” przez agencje reklamowe lub skrypty statystyk Gemiusa/Google. Problem w tym, że niektórych ciastek usunąć się nie da, bo w ogóle nie da się ich znaleźć w przeglądarce!

Flash Cookies = Local Shared Objects

Mianem ciasteczek flaszowych określa się LSO, czyli pliki zapisywane na naszym dysku przez przeglądarkę internetową (a raczej plugin Flasha) po wejściu na stronę WWW zawierającą obiekt Flasha (np. banner).

Flashowe ciasteczka, mimo, że wykorzystywane do tych samych celów, trochę różnią się od standardowych ciastek HTTP…

  • Mają większą pojemność i są ponadczasowe. Limitem dla danych nie jest już 4kB (HTTP Cookies) a 100kB! Agencje reklamowe mogą więc zbierać więcej informacji na Twój temat, a wygenerowane przez nich cookie nigdy nie jest usuwane z Twojego systemu, gdyż w przeciwieństwie do zwykłego ciastka, we flash cookie nie można ustawić daty wygaśnięcia.
  • Nie można ich przeglądać ani skasować za pomocą mechanizmów przeglądarki internetowej. Nie jesteś więc w stanie łatwo i wygodnie decydować o tym, jakie strony zbierają o Tobie informacje.
  • Każdy ma je na swoim komputerze. Bo kto w dzisiejszych czasach korzysta z przeglądarki BEZ plugina Flasha?
  • Praktycznie nikt nie zdaje sobie sprawy z ich istnienia. O ile o ciasteczkach HTTP jest głośno — prawie nikt nie wspomina o ciasteczkach Flashowych. Na domiar złego, w domyślnej konfiguracji Flash zezwala na ich zapisywanie nie tylko przez strony, które świadomie odwiedza użytkownik, ale także poprzez tzw. strony trzecie — czyli kod podlinkowany z innego serwera niż bezpośrednio oglądana strona.
  • Trzeba się nieźle namęczyć, żeby je usunąć: (patrz niżej)

Zabezpiecz się: konfiguracja i usuwanie Flash Cookies

Aby zablokować możliwość śledzenia cię przez ciasteczka Flashowe, wykonaj poniższe kroki:

  • Wejdź na jakąkolwiek stronę, która zawiera obiekt Flash. Osobiście polecam sieni.us – z racji muzyki i animacji, która umili Ci proces pozbywania się wstrętnych flashowych ciastek… ;-)
  • Kliknij prawym przyciskiem myszy na animacji Flashowej i wybierz “Settings” a potem “Advanced“.

    Flash Cookies step 1 Flash Cookies step 2

    Zostaniesz przeniesiony na specjalną stronę WWW Adobe – producenta Flasha. Po lewej stronie, w menu o nazwie Settings Manager będziesz miał dostęp do konfiguracji swojego pluginu Flasha.

    Zwróć uwagę, jak sprytny jest to mechanizm. Konfiguracja lokalnego oprogramowania, które masz zainstalowane na swoim komputerze odbywa się poprzez zdalną stronę WWW!

  • Kliknij na Global Storage Settings Panel.

    Flash Cookies step 3

    a.

    Aby całkowicie zablokować ciasteczka Flashowe, przesuń widoczny na ekranie suwak maksymalnie na lewo i kliknij na “Never Ask Again“.

    b.

    Żeby zabezpieczyć się przed rzucaniem ciastek przez bannery podlinkowane z serwerów firm trzecich (agencje reklamowe), odznacz “Allow third-party Flash content to store data on your compter

    Przykład:

    Wejście na Onet.pl zainstaluje Ci ciastko nie tylko z Onetu, ale także z każdego serwera, z którego Onet wyświetla banner, obrazek lub skrypt. A że Onet wyświetla reklamy z kilku serwerów należących do firm trzecich… to ciasteczek będziesz miał sporo ;-)

  • Wybierz z menu Website Storage Settings, żeby przekonać się ile ze stron już zdążyło rzucić w ciebie ciastkiem i kliknij na “Delete all sites“, żeby je usunąć.

    Flash Cookies step 4

Alternatywne metody zarządzania ciastkami flashowymi

Ponieważ Flash Cookies to pliki, można je również czyścić poprzez opróżnianie odpowiednich katalogów na dysku twardym. W zależności od systemu operacyjnego będzie to:

Windows:
C:\Dokuments and Settings\LOGIN\Application Data\Macromedia\Flash Player\#SharedObjects
Użytkownicy Windows mogą również skorzystać z programu CCleaner.

Mac OS X:
Dla stron WWW: ~/Library/Preferences/Macromedia/Flash Player.
Dla aplikacji AIR: ~/Library/Preferences/[package name (ID)]

GNU-Linux:
~/.macromedia
Aby ciastka fleszowe usuwane były podczas restartu systemu można wydać polecenie:
mkdir /tmp/flasze && ln -s /tmp/flasze ~/.macromedia

Dla przeglądarki Firefox dostępne są rozszerzenia o nazwie Better Privacy oraz Objection, które pozwalają zarządzać i usuwać ciasteczka Flashowe.

Flash wydajnie narusza twoją prywatność

CookiesFlaszowe ciasteczka służą do tego samego, do czego służą zwykłe ciasteczka HTTP — pozwalają śledzić użytkownika i budować jego profil reklamowy wykorzystywany w marketingu behawioralnym. Pomiędzy ciasteczkami Flashowymi i zwykłymi jest tylko jedna różnica: flashowe ciastka potrafią inwigilować o wiele wydajniej, bo z racji swojego “ukrytego” charakteru, trudniej jest je usunąć/zablokować, zamazując tym samym czytelność informacji zbieranych na nasz temat przez agencje reklamowe. Jakby tego było mało, flashowe ciastko może “odtworzyć” ciastko HTTP, które zostało skasowane przez użytkownika (sic!).

Zresztą, nie tylko agencje reklamowe czerpią korzyści z sekretów flashowych ciastek. Fakt ich istnienia wykorzystują kryminalistycy informatyczni, którzy badając aktywność komputerową użytkownika są w stanie powiedzieć, jakie strony odwiedził — nawet jeśli użytkownik świadomie skasował historię przeglądarki i standardowe ciasteczka HTTP np. przy pomocy funkcji takich jak “Private Browsing” (Firefox/Safari). Miejcie to na uwadze, kiedy następnym razem będziecie oglądać brzydkie strony w tzw. Porn Mode… ;-)

Powyższy artykuł pochodzi z bloga Piotrka Koniecznego


Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. poprawka do GNU-Linux:
    po reboocie kasowana jest zawartość /tmp, dlatego lepiej zlinkować .macromedia bezpośrednio do /tmp

  2. Bardzo brakuje w tym artykule informacji, że po całkowitym zablokowaniu flashowych ciastek, niektóre strony _przestają działać_ — na przykład filmy z serwisu Daily Motion. Nie można tak od hoc sugerować “przesuń widoczny na ekranie suwak maksymalnie na lewo”, bo użytkownicy będą mieli problem, z którym mogą sobie później nie poradzić.

  3. “Każdy ma je na swoim komputerze. Bo kto w dzisiejszych czasach korzysta z przeglądarki BEZ plugina Flasha?”
    Ja. Znaczy nie teraz. Czesc userow netbookow pewnie tez wylacza/nie instaluje flash.

    “Miejcie to na uwadze, kiedy następnym razem będziecie oglądać brzydkie strony w tzw. Porn Mode… ;-)”

    Buuu…

  4. Czy ja czegos nie napisalem jeszcze w poprzednim komentarzu?
    Juz zapomnialem ale chyba cos tam bylo. Moderacjo?

  5. W czym lepsza – dla użytkowników Fx – jest dłuższa, bardziej skomplikowana metoda od – wspomnianego tylko – rozszerzenia Better Privacy?

  6. @Jurgi masz zupelna racje, choc ujalbym to nieco inaczej: dzialaja tylko niektore strony. To wlasnie ustawienie “Allow third-party Flash content to store data on your compter” przyczynia się głównie do odmawiania posłuszeństwa obiektow flash na stronie.
    BTW: polecam zalookac do Dodatków FF, gdzie znajdziecie wtyke do kasowania uciazliwych ciastek LSO

  7. fajny artykuł, nigdy wcześniej nie słyszałem o flash cookies :))

  8. U mnie(Windows Vista) folder z ciasteczkami to:
    C:\Users\LOGIN\AppData\Roaming\Macromedia\Flash Player\#SharedObjects

  9. U mnie, w polskiej edycji Windowsa XP to C:\Documents and Settings\LOGIN\Dane aplikacji\Macromedia\Flash Player\#SharedObjects\
    W środku jest folder, którego nazwa wygląda na losowy ciąg znaków (ciekawe po co) i dopiero ciastka. Co ciekawe, większość folderów jest pusta. Kiedyś w każdym coś było. Może po sobie “sprzątają” co niektórzy, a ścieżka się zmienia, w zależności od wersji wtyczki?

  10. dla przeglądarek na silniku Gecko na pewno 3 postawowe addon’ y powinno się doinstalować:
    1. wspomniany Better Privacy
    2. Flashblock
    3. CS Lite
    Dzięki nim można w ogóle nie wpuszczać żadnych ciasteczek domyślnie. Jeśli jakaś strona nam nie zadziała, wtedy można ją odblokować ręcznie.

    Z tego co się orientuję, dla Opery też jest flashblock – działa tak samo jak ten w Firefox’ie – a zablokowany flash (czy to gra czy film czy banner) na stronie nie powinien wczytywać żadnych plików, bo nawet nie jest pobierany na nasz komputer. Niestety nie wiem jak Opera radzi sobie z czyszczeniem flash-cookies, ale chyba nie za bardzo…

  11. dla przeglądarek na silniku Gecko na pewno 3 postawowe addon’ y powinno się doinstalować:
    1. wspomniany Better Privacy
    2. Flashblock
    3. CS Lite
    Dzięki nim można w ogóle nie wpuszczać żadnych ciasteczek domyślnie. Jeśli jakaś strona nam nie zadziała, wtedy można ją odblokować ręcznie.

    Z tego co się orientuję, dla Opery też jest flashblock – działa tak samo jak ten w Firefox’ie – a zablokowany flash (czy to gra czy film czy banner) na stronie nie powinien wczytywać żadnych plików, bo nawet nie jest pobierany na nasz komputer. Niestety nie wiem jak Opera radzi sobie z czyszczeniem flash-cookies, ale chyba nie za bardzo… i trzeba się “wspomagać” wspomnianym w artykule CCleaner’em.

  12. [b]ceglash[/b], jestes pewien ze CS Lite usuwa ciasteczka flaszowe?
    Ja osobiscie na codzien korzystam z cslite(ciacho na sesje only)+flashblock+noscript(dla zaufanych) oraz chcialem dodac ze CCleaner nie obsluguje SeaMonkey’a pod win(2k3) : (

  13. przepraszam za podwójny komentarz, ale podczas wysyłania pierwszego zwiesiła mi się przeglądarka na dłuższą chwilę i myślałem że nie został wysłany…
    Co do ciasteczek – nie, CS Lite usuwa tylko zwykłe ciasteczka albo je blokuje. Chodziło mi w zamyśle ogólnym – że jeśli chcemy blokować lub skutecznie usuwać ciasteczka z przykładowo Firefox’a to taki zestaw (Better Privacy, CS Lite) się przydaje. Wydawało mi się że zdanie pod wymienioną w poprzednim komentarzu listą wyraźnie precyzuje zamiar…

    Co do SeaMonkey – to trochę faktycznie ubogo z jego addon’ami ale dla chcącego nic trudnego ;)

  14. Nazwa tego podfolderu (z ciasteczkami flash/LSO) jest nawet inna dla każdego konta użytkownika.
    (Przynajmniej w XP)

    Adobe/Macromedia to firmy cwane co najmniej tak jak Micro$oft.

  15. Krzysiek, dlatego jeśli ktoś używa Bettet Privacy – najlepiej ustawić go żeby przykładowo przy zamykaniu przeglądarki “rył” po całym dysku C:\ ^.^
    Przeglądarka będzie się dłużej trochę zamykać, ale za to cały szajs zostanie usunięty :>

  16. Natrafilem na ten wpis (jak i na bloga) trochę przypadkiem.
    Mały komentarz co do usuwania ręcznego LSO: Niestety flash zmienia co jakiś czas adres ścieżki i wykonuje ‘kopie bezpieczeństwa’ tych że plików. Na dodatek potrafi trzymać te pliki w różnym katalogu w zależności od przeglądarki. W związku z tym aby być pewnym wyczyszczenia należy usunąć wszystkie pliki o rozszerzeniu sol, no może poza plikiem settings.sol.
    Pozdrawiam

  17. wiec przeczytałem artykul sprawdzilem i faktycznie to gowno flehowe szpieguje i zostawia slady. Wiec znajac sie troche na kompach wpadlem na najlepsza i najskuteczniejsza metode obejscie tego gowna. wiec
    1)wylanczamy opcje prostego udostępniania plikow (opcje folderow->widok->…
    2)przechodzimy do C:\Documents and Settings\xxx\Dane aplikacji\Macromedia\Flash Player (xxx oznacza nazwe uzytkownika sys)
    3) prawy przycki myszy->wlasciwosci->zabezpieczenia->zaawansowane->edytuj->pod kolumna “odmow” wyszukujemy “tworzenie plikow” i “tworzenie folderow” i stawiamy tam ptaszki potwierdzamy wszystkie wykonane przez nas kroki

    efekt (opis):
    flashowe strony(lub banery) nadal chodza, natomiast zadne ciasteczka nie sa zapoisywane na kompie wiec sladow brak. program typu “betterprivacy” i podobnych odradzam z dwoch powodow :
    1)pierwszy przypadek ciasteczka zostaja zapisane i kasowane przez betterprivacy po kazdym wylaczeniu przegladarki firefox, (UWAGA slowo kasowane ma duze znaczenie bo takie pliki daje się odzyskac wiec metoda do bani, co innego gdyby betterprivacy zamazywal wtedy by był rownie skuteczny co moja opisana metod, ale nie stety autor dodatku betterprivacy nie chwali się ze ciaseczka SA zamazywane wiec nie warto ryzykowac)

    2)w drugim przypadku gdy zablokujemy ciasteczka odatkiem “noscript” ciasteczka nie SA zapisywane ale jednoczesnie nie wyświetlają się nam obiekty typu ciasteczka flash’owe

    Kto skorzystaz mojej metody sprawdzonej na przeglądarce firefox zalecam aby punkt 3 powtorzyc dla „pozostałych użytkowników” i „administratora”

  18. Ewentualnie można by utworzyć mały ram-disk montowany przy każdym uruchomieniu systemu i utworzyć hard link katalogu macromedia do tego ram-disku.

    W trakcie działania wszystkie ciastka będą lądować w ram-disku, więc na pewno wszystko będzie działać OK, a po wyłączeniu komputera nie będzie po nich żadnego śladu…

  19. […] do tego dorzucimy odpowiednią konfigurację wtyczki Flash, poczujemy się znacząco […]

  20. A moim zdaniem kombinujecie jak ” koń pod górę ” z tymi wynalazkami do przeglądarek zeby blokowały, usuwały , czyściły, ryły, gryzły…ect ect ufff…. sandboxie oraz opcja opróżniania piaskownicy przy zamykaniu … ( czym jest sandbox wiecie domniemam ) więc Head&Shoulders moim zdaniem i bez tej całej w/w zabawy jaką stosujecie. Pozdro.

  21. Odnośnie: “Miejcie to na uwadze, kiedy następnym razem będziecie oglądać brzydkie strony w tzw. Porn Mode… ;-)”

    To co powiem nie ma specjalnego znaczenia dla samego artykułu, ale boli mnie wprowadzanie ludzi w błąd, zatem przypomnę ŻE PORNOGRAFIA W POLSCE JEST LEGALNA tak samo jak papierosy czy wódka. Cytuję:

    “W Polsce pornografia jest generalnie legalna, przestępstwem jest jednak publiczne prezentowanie treści pornograficznych w taki sposób, że może to narzucić ich odbiór osobie, która tego sobie nie życzy, lub osobie poniżej piętnastego roku życia (art. 202 § 1 i 2 kk). Karalna jest produkcja, sprowadzanie lub rozpowszechnianie pornografii z udziałem osób poniżej lat 18 albo związane z użyciem przemocy lub posługiwaniem się zwierzęciem (art. 202 § 3 i § 4 kk). Posiadanie pornografii karalne jest tylko w przypadku treści pornograficznych z udziałem osób poniżej piętnastego roku życia (art. 202 § 4a kk). Innego rodzaju pornografia jest w Polsce legalna.”

    Dziękuję bardzo, koniec tematu.

  22. Co do Opery: można sobie zrobić w miarę prosto przycisk NO-FLASH służący do włączania/wyłączania flasha – możemy go jednym kliknięciem załączać tylko wtedy gdy jest nam potrzebny (zminimalizujemy ryzyko).

    Opis:
    http://my.opera.com/polski/forums/topic.dml?id=37096
    http://my.opera.com/community/forums/topic.dml?id=384281

  23. @kubaaa tu nie chodzi o legalność, czy nielegalność pornografii, ale o to, jak mocno żona potrafi uderzyć wałkiem ;)

  24. Mój “NoScript” blokuje w tej chwili (czyli na niebezpiecznik.pl) flasch@http://blip.pl, shchkwave-flasch@http://blip.pl, googleapis.com, adtaily.com, googlesyndycation.com, facebook.com, wykop.pl, oraz blip.pl. Zablokowane obiekty mam zamienione na znaki zastępcze, więc jeśli chcę skorzystać z któregoś z nich – muszę ręcznie zezwolić na pobranie i użycie ciastka. Szczerze mówiąc, byłem bardzo zdziwiony gdy w pracy otworzyłem Waszą stronę na IE7. Dlaczego? Dlatego że dopiero w pracy zauważyłem jej “negatywową” kolorystykę. W domu mam wszystko “czarno na białym”.

  25. Nic nie stoi na przeszkodzie by link do ustawień Flasha http://www.macromedia.com/support/documentation/pl/flashplayer/help/settings_manager.html dodać na stałe do ulubionych i co pewien czas kontrolować flashowe ciastewczka. Można też odpalać CCleaner z każdym startem systemu.

  26. C.Cleaner w starej wersji jest jednak szybszy i dokładniejszy. Ten ostatni nie opróżnia np. Prefetch, pomimo zaznaczenia tego w opcjach. Przydatną funkcją nowej wersji jest nadpisywanie wolnej przestrzeni na dysku, chociaż nie sprawdzałem jeszcze stanu faktycznego, bo gdzieś mi się zapodział Disc Viewer.
    Pytanie o Linuxa: W którym katalogu poszukiwać flasch cookies dla FF 3.0.17? (Gnome)

  27. To narzędzie od macromedia jest w ogóle do kitu, bo co z tego, że usuwa ciasteczka jak nie usuwa katalogów (z adresami stron w nazwie) w których się znajdują? Wystarczy, że ktoś wejdzie do katalogu z ciasteczkami i już wie, czy wchodziliśmy na redtube :)

  28. […] jakiś czas temu pisaliśmy o zagrożeniu dla prywatności, jakim są ciasteczka flashowe. Wspominaliśmy także, jak łatwo m.in. za pomocą pluginu Flasha namierzyć konkretnego […]

  29. […] zagrożenia związane z przeglądarkami internetowymi i prywatnością internautów, takie jak ciasteczka flashowe, których nie da się usunąć z poziomu przeglądarki internetowej, a które moga posłużyć do […]

  30. Witam,

    folder z ciasteczkami flash
    c:\Documents and Settings\LOGIN\Application Data\Macromedia\Flash Player\#SharedObjects\

    plik ustawieniami stron dot. ciasteczek flash
    c:\Documents and Settings\LOGIN\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol

    ten plik settings.sol strony także potrafią modyfikować żeby swoje ciasteczka dodawać,
    mimo ustawienia Global Storage Settings na NONE

    ja usuwam wszystko z #SharedObjects i plik settings.sol przy starcie systemu

    nowy czysty plik settings.sol zostanie utworzony automatycznie i strony nie będą się burzyć tak jak pisał Jurgi powyżej

    pozdrawiam

  31. […] was “niewygodne” strony można wyciągnąć bez użycia wirusa, np. za pomocą tzw. ciasteczek flashowych i specjalnego […]

  32. […] Wyeliminowanie tego ciekawego z punktu widzenia prywatności błędu to chwalebny, ale mały krok naprzód. Ciągle bowiem internautów da się śledzić w sieci na wiele różnych sposobów. […]

  33. […] zagrożeniu dla prywatności internauty pisaliśmy już wielokrotnie, dowodząc z reguły, że prywatność w sieci nie istnieje. Poniżej prezentujemy koncepcję “wiecznego” ciasteczka HTTP, […]

  34. Witam. W chrome nie trzeba robić kombinacji z dostaniem się do strony Adobe – Opcje – Dla zaawansowanych – Wyczyść dane przeglądarki… – Ustawienia pamięci programu Adobe Flash Player…

  35. Ad post: combo 2009.11.29 13:36
    Stosując metodę, którą opisałeś zablokujesz sobie możliwość oglądania bardzo wielu serwisów wideo na świecie. Poprzednicy pisali o porno to przykład – hardsextube. Taka zasadę ma większość nowoczesnych sieci wideo. Bez instalacji ciasteczka flash’owego nie ruszy filmik, choćbyś nie wiem co kombinował.
    Dlatego jedynym rozwiązaniem, oczywiście gdy chcesz oglądać, musi być pozwolenia na instalację ciasteczka. Po wszystkim takie ciasteczka są automatycznie usuwane np. przez dodatek do FF – Better Privacy.

  36. Zawsze można tak: http://lwn.net/Articles/262570/ :)

    “For personal reasons, I do not browse the web from my computer. (I
    also have not net connection much of the time.) To look at page I
    send mail to a demon which runs wget and mails the page back to me.
    It is very efficient use of my time, but it is slow in real time.”

  37. Jest taka fajna stronka na której całkiem dokładnie można sobie sprawdzić co “wycieka” z Twojej przeglądarki.

  38. No tak zapomniałem wkleić linka :)

    http://ip-check.info/?lang=en

  39. Odświeżcie obrazki :)

  40. […] w miarę możliwości, tworzenie bardziej rozbudowanych artykułów w stylu poradnikowym. […]

  41. […] dokumencie opisano zarówno mechanizmy typu “cookie” (także Flash i Silverlight) jak i inne techniki pozwalające na pozostawienie identyfikatora po stronie przeglądarki/systemu […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: