De nombreuses personnes ont entendu parler de cookies tiers et certains navigateurs les bloquent même par défaut. Certaines personnes peuvent même utiliser les modes de navigation privée. Toutefois, seuls quelques-uns semblent se rendre compte que le lecteur Flash d'Adobe laisse également une trace de navigation croisée sur votre disque dur local et permet de renvoyer des informations de type cookie au serveur, y compris à des sites tiers. Et comme il s'agit d'un plugin, Flash ne prend en compte aucun des paramètres de confidentialité du navigateur.
Désolé pour le long post, mais d'abord quelques détails sur les raisons pour lesquelles l'utilisation de Flash soulève un problème de confidentialité, suivis des résultats de mes tests:
- Flash Player conserve un historique de tous les navigateurs sur les noms de domaine des sites Flash que votre ordinateur a visités. Contrairement à l'historique de votre navigateur, cet historique ne se limite pas à un certain nombre de jours. L'historique est également enregistré lors de l'utilisation de ce que l'on appelle les modes de navigation privée. Il est stocké sur votre disque dur (cependant, comme décrit ci-dessous, sans consulter le site d'Adobe, vous ne saurez pas ce qui est stocké).
- Je ne sais pas si des informations de date et d'heure sont conservées pour chaque visite, mais pour voir les noms de domaine: cliquez avec le bouton droit sur du contenu Flash, ouvrez la boîte de dialogue des paramètres, puis cliquez sur l'icône Aide ou sur le bouton Avancé de l' onglet Confidentialité . . Cela ouvre un navigateur aux pages d’aide d’Adobe.com, où vous pouvez cliquer sur le panneau Paramètres de stockage du site Web .
- On peut effacer la liste existante, mais on ne peut empêcher son enregistrement de nouveau.
Flash permet de stocker des données sur votre disque dur local, à l'aide de ce que l'on appelle des objets partagés locaux (ou "Cookies Flash"). Tout comme les cookies HTTP, ces données peuvent être renvoyées au serveur à des fins de suivi. Ils sont inter-navigateurs, n'ont pas de date d'expiration et aucune durée de vie maximale définie par l'utilisateur ne peut être définie dans les préférences Flash. Ce ne sont pas des cookies HTTP, ils ne sont (bien sûr) pas bloqués par les préférences de cookies du navigateur et ne sont pas supprimés lorsque les cookies HTTP normaux sont supprimés. Adobe a annoncé que la version 10.1 obéirait à la navigation privée dans la plupart des navigateurs classiques, mais malheureusement, il n’ya aucun mot sur la suppression des données lorsque les cookies normaux sont supprimés manuellement. Et sa mise en œuvre pourrait être déroutante:
[..] if the browser is in normal browsing mode when the Flash Player instance is created, then that particular instance will forever be in normal browsing mode (private browsing is turned off). Accordingly, toggling private browsing on or off without refreshing the page or closing the private browsing window will not impact Flash Player.
Les objets partagés locaux ne se limitent pas au site que vous visitez, et le stockage tiers est activé par défaut. Dans le panneau Paramètres de stockage globaux , vous pouvez désélectionner le paramètre par défaut Autoriser le contenu Flash tiers à stocker des données sur votre ordinateur . En raison de la nature multi-navigateur et sans expiration (et du fait que peu de gens le savent), j’ai l’impression que les cookies Flash tiers de plusieurs navigateurs sont plus dangereux pour le suivi des visiteurs que les cookies HTTP normaux de tierces parties. Ils sont même utilisés pour restaurer les cookies HTTP simples que l'utilisateur a tenté de supprimer:
"Tous les annonceurs, sites Web et réseaux utilisent des cookies pour la publicité ciblée, mais les cookies sont attaqués. Selon les recherches actuelles, 40% des utilisateurs les effacent, ce qui crée de sérieux problèmes", a déclaré Mookie Tenembaum, fondateur de United Virtualities. "Du simple plafonnement de fréquence au ciblage comportemental plus sophistiqué, les cookies sont un élément essentiel de toute campagne publicitaire en ligne. PIE [" Élément d'identification persistante "] donnera aux éditeurs et aux fournisseurs tiers une sauvegarde permanente des cookies, les rendant inattaquables " , ajoute Tenembaum.
[..] Pour justifier ce mécanisme de suivi, Tenembaum d'UV a déclaré: "L'utilisateur ne maîtrise pas suffisamment la technologie pour savoir si le cookie est bon ou mauvais ou son fonctionnement."
- Lorsque vous sélectionnez Aucun (zéro Ko) pour Spécifiez la quantité d'espace disque que les sites Web que vous n'avez pas encore visités peuvent utiliser pour stocker des informations sur votre ordinateur . Si vous cochez cette option, certains sites ne fonctionnent pas. Toutefois, le même site peut fonctionner lorsqu'il est défini sur Aucun sans sélectionner Ne plus jamais demander , puis sur Refuser à chaque invite . Dans les deux cas, zéro Ko de données est autorisé, mais le comportement diffère.
- Le plugin fournit également un cache Flash Player pour les fichiers signés par Adobe. Je suppose que ces fichiers ne sont pas un problème.
Alors, comment supprimer automatiquement cette information?
Sur un Mac, on peut trouver un settings.sol
fichier et un dossier pour chaque site Web Flash visité dans:
$ HOME / Bibliothèque / Préférences / Macromedia / Flash Player / macromedia.com / support / flashplayer / sys /
La suppression du settings.sol
fichier et de tous les dossiers de celle sys
-ci supprime la trace des panneaux de paramètres. Cependant, les objets partagés locaux réels se trouvent ailleurs (voir Wikipedia pour les emplacements sur d'autres systèmes d'exploitation), dans un sous-dossier nommé de manière aléatoire de:
$ HOME / Bibliothèque / Préférences / Macromedia / Flash Player / # SharedObjects
Mais alors: comment supprimer cela automatiquement? En supprimant simplement les dossiers et le settings.sol
fichier de temps en temps (par exemple, en utilisant launchd
ou le Planificateur de tâches de Windows), vous risquez d'interférer avec les navigateurs actifs. Ou est-il prudent de supposer que, compte tenu de la nature des navigateurs, le plug-in ne se souciera pas si les choses sont supprimées tant qu'il est actif? Seul le nettoyage pendant la déconnexion peut ne pas fonctionner pour ceux qui hibernent tout le temps.
Les utilisateurs de Firefox peuvent installer BetterPrivacy ou Objection pour supprimer les objets partagés locaux (également pour tous les autres navigateurs). Je ne sais pas si cela supprime également la trace des noms de domaine de sites Web.
Ou: comment empêcher Flash de stocker une trace historique?
Changement de plan: J'essaie actuellement d'empêcher Flash d'écrire dans ses propres dossiers sys
et #SharedObjects
dossiers. Jusqu'à présent, Flash n'a pas essayé de restaurer les autorisations (bien sûr, lors de la suppression des dossiers, Flash les recréera). Je n'ai rencontré aucun problème, mais la validation peut prendre un certain temps, en utilisant plusieurs navigateurs et sites. Je n'ai pas encore trouvé de journal qui rapporte des erreurs. Sur un Mac:
cd "$ HOME / Bibliothèque / Préférences / Macromedia / Lecteur Flash / macromedia.com / support / flashplayer"
rm -r sys / *
chmod uw syscd "$ HOME / Bibliothèque / Préférences / Macromedia / Flash Player"
# préserve les sous-dossiers nommés de manière aléatoire (il suffirait de conserver les derniers.
Sujet vu ci-dessous) rm -r \ #SharedObjects / * / *
chmod -R uw \ #SharedObjects
Je suppose que ce qui précède chmod
ne peut pas être réalisé sur un ancien système Windows (je ne suis pas sûr de XP ni de Vista?). Bien que peut-être sur Windows on pourrait remplacer les dossiers sys
et #SharedObjects
par des fichiers factices avec les mêmes noms? N'importe qui?
Évidemment, empêcher Flash de stocker ces objets partagés locaux pour tous les sites peut poser des problèmes. Quelques résultats de test (Flash 10 sur Mac OS X):
- Lorsque vous bloquez le
sys
dossier (même lorsque vous le laissez en#SharedObjects
écriture), YouTube ne se souviendra pas de vos paramètres de volume lors de la visualisation de plusieurs vidéos. Autoriser temporairement un accès en écriture aux dossiers bloqués lors de la visite de sites de confiance (pour ne créer que des dossiers pour les domaines de votre choix, y compris éventuellement des référencessettings.sol
) résout ce problème. De cette façon, pour YouTube, Flash pourrait être autorisé à écrire sursys/#s.ytimg.com
et#SharedObjects/s.ytimg.com
, alors que Flash ne pourrait pas créer de nouveaux dossiers pour d'autres domaines. On peut aussi avoir besoin de faire ensettings.sol
lecture seule après, ou de le supprimer à nouveau. - Lors du blocage des deux dossiers
sys
et#SharedObjects
, YouTube et Vimeo fonctionnent correctement (bien qu'ils ne se souviennent peut-être pas des paramètres). Cependant, Bits on the Run refuse même de montrer le lecteur vidéo. Pour résoudre ce problème, débloquez temporairement le#SharedObjects
dossier afin de permettre à Flash de créer un sous-dossier avec un nom quelconque. Dans ce dossier, il créerait un autre dossier pour le site Web Flash actuel (content.bitsontherun.com
). La suppression de ce dossier spécifique au site Web, ainsi que le blocage des deux#SharedObjects
et du sous-dossier nommé de manière aléatoire, semblent toujours permettre aux bits sur le fonctionnement de fonctionner, même s'il ne peut toujours rien écrire sur le disque. Donc: l’existence du sous-dossier nommé aléatoirement (même en écriture protégée) est importante pour certains sites. - Lorsque j'ai trouvé le
#SharedObjects
dossier, il contenait de nombreux sous-dossiers portant des noms aléatoires, certains créés le même jour. Je me demande quand Flash décide qu'il veut un nouveau dossier et comment il détermine (et se souvient) ce nom aléatoire. - Pendant un moment, j'ai envisagé de ne pas bloquer l'accès en écriture pour
sys
et#SharedObjects
, mais de créer explicitement des dossiers en lecture seule pour les domaines de suivi tiers connus (comme basé sur une liste, par exemple, AdBlock Plus). De cette façon, tout autre domaine pourrait toujours créer des objets partagés locaux. Mais la liste serait longue, et les domaines de AdBlock Plus sont probablement tous des domaines tiers, alors désactivez Autoriser le contenu Flash tiers à stocker des données sur votre ordinateur peut avoir le même résultat.
Toute expérience quelqu'un?
(Remarques finales: si les liens ci-dessus vers les panneaux de paramètres ne fonctionnent plus, utilisez l’URL connue de Flash Player comme point de départ: www.adobe.com/go/settingsmanager . Voir aussi « Vous avez supprimé votre Cookies? Think Again "sur Wired.com - qui utilise également les cookies Flash ... Pour les utilisateurs très suspects de Time Machine: vous pouvez exclure les deux dossiers, pour chaque utilisateur, et supprimer la trace déjà présente sur votre ordinateur. sauvegarde.)