reklama

Flash prý skrývá nebezpečí, říká se mu Flash Cookies

Americká marketingová společnost čelí žalobě, skenovala surfaře bez jejich vědomí. Do hledáčku médií se dostala prý potenciálně nebezpečná technologie flashových sušenek.

Možná jste v posledních dnech zaslechli termín Flash Cookies – patrně v souvislosti s žalobou na Clearspring Technologies, která skrze své partnery sledovala surfaře na webu. Bez jejich vědomí a právě skrze exotickou technologii Local Shared Objects neboli „Flash Cookies“.

Flash má vlastní sušenky a málokdo to ví...

Oč se jedná? Už podle familiárnějšího názvu je zřejmé, že jde o vcelku běžné sušenky, o které se nicméně nestará prohlížeč, ale Flash Player. Z toho plyne několik vcelku logických zásad. Pokud ve svém prohlížeči zakážete ukládání cookies (nebo je jednoduše všechny smažete), nijak se to nedotkne těch flashových. Flash Player je totiž samostatný doplněk logický nezávislý na prohlížeči, ten do něj tedy nemůže nikterak vstupovat a naopak. Flashové sušenky mohou zároveň nabývat mnohem větší kapacity (můžete nastavit i neomezenou kvótu), mohou tedy obsahovat celé texty informací. No a nakonec to nejzákeřnější – média si jich všímají až v poslední době, svůj poměrně neškodný život si ale přitom žijí už od Macromedia Flash Playeru 6, který spatřil světlo světa na jaře před osmi lety.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Klasické HTTP sušenky v Chromu a ty, které používá Flash Player
Pro jejich správu přejděte na tuto adresu

No dobrá, zpět k soudnímu případu. Kde je zakopaný pes? Clearspring Technologies se živí webovým marketingem, propagací (patří ji mimochodem třeba doplněk pro snadné sdílení adres na sociálních sítích AddThis) a také analýzou chování spotřebitelů.

Spotřebitele (rozuměj jakéhokoliv surfaře) můžete identifikovat a sledovat třeba skrze klasickou cookies sušenku. Dejme tomu, že vytvoříte nějaký pěkný webový widget, který začne používat milion různorodých webů. Widget při prvním zobrazení uloží do cookies jedinečný identifikátor vašeho počítače a kdykoliv se widget znovu načte na některém z té obrovské hromady webů (třeba ve vlastním iframu, může tedy použít sušenku patřící stále jedné a jediné doméně), do databáze se započítá vaše návštěva. Pokud si pak analytik vypíše seznam všech návštěv jednoho identifikátoru, zjistí všechny vaše přístupy, celou vaši historii na všech zastoupených webech.

Téměř nesmrtelné sušenky

Možná to vypadá jako horor, ale takhle to prostě na internetu funguje – takové „widgety“ skutečně existují. Ostatně stačí si představit třeba možnosti Google Analytics a jeho kódu uvnitř každého druhého webu, v případě těch českých pak třeba měřící kódy Navrcholu.cz, Toplist.cz a další. Neznamená to pochopitelně, že by nás podobné služby měly implicitně sledovat a že to až takto podrobně per capita dělají, díky své rozšířenosti ale mají tu potenciální moc.

Klepněte pro větší obrázek
Nejrůznější anonymní režimy prohlížeče se sice postarají o to, aby se na počítač neukládaly
klasické HTTP cookies, těch flashových se to ale pochopitelně netýká 

Cookies v prohlížeči můžete blokovat, neustále mazat a jinak perzekuovat, s touto praxi si ale surfování docela drasticky znepříjemníte, cookies se totiž v pomyslných devadesáti procentech případů používají k celkem běžným úkonům, které mají zjednodušit a urychlit surfování – třeba právě tím, že si pomocí identifikátoru v cookies udržíte spojení a nebudete se muset z domácího počítače opakovaně přihlašovat k poště. Jinými slovy, internet má svá úskalí a kdokoliv hledá bezpečnostní sterilitu bez gramu rizika, nechť zapomene na všechny výdobytky posledních deseti let počínaje platebními systémy a konče sociálními sítěmi. Čím univerzálnější je technologie, tím více rizik na vás číhá.

Jak jsem již psal v úvodu, sušenky, které používá Flash Player, nemůžete smazat v nastavení prohlížeče. Ačkoliv na tuto realitu nezapomene upozornit ani jeden pisatel, není to nic divného – je to dokonce zcela normální. Flash Player není integrální součástí prohlížeče – je to modul, který se chová podobně jako Adobe Reader, Silverlight – žije si tedy vlastním životem. Má tedy i vlastní nastavení přímo na stránkách adobe.com. Stačí klepnout sem a objevíte zcela nový svět flashových cookies, i když si třeba myslíte, že surfujete v naprosto anonymním režimu. Sušenky zde můžete smazat, nebo klidně všechny pro příště zablokovat. Zároveň je najdete i na svém počítači – majitelé Windows Vista/7 nechť se podívají do složky C:\Users\<uživ.jméno>\AppData\Roaming\Macromedia\Flash Player\#SharedObjects. Její veškerý obsah včetně složek tvoří flashové sušenky, které si vytváří a spravují samostatné flashové aplikace na webu.

Klepněte pro větší obrázek
Flashové sušenky na vašem počítači

Mnozí správci stránek je využívají i k jakémusi sušenkovému přemostění. Bez problému mohou do flashových cookies ukládat to samé, co do klasických HTTP sušenek. No, a pokud ty webové smažete, obnoví se právě z persistentní flashové paměti. Chytré, že?

Jak to bylo s tou žalobou?

Případ s jedním widgetem na hromadě webů souvisí i s žalobou na Clearspring Technologies. Ta totiž na weby partnerů nasadila měřící kód, použila přitom trvalejší a chytřejší flashové cookies. Měřící kód se pak dostal na velké weby Walt Disney. Demand Media a další a nastal problém. Ve Státech (stejně jako v Británii a mnoha dalších zemích) je totiž ilegální ždímat ze surfařů data bez jejich svolení. Soud teď musí rozhodnout, jestli lze za toto „ždímání“ považovat i cookies a tento konkrétní případ.

Nafouknutá bublina?

Na technologii Local Shared Objects však principiálně nic špatného není, vždy jde pouze o to, jak ji ten či onen autor webu použije. Dnes flashové cookies používá většina provozovatelů nějakého flashového obsahu, ale čistě k „mírovým“ účelům. Takovým příkladem může být třeba nastavení hlasitosti videa ve flashovém videopřehrávači – vámi nastavená hodnota se prostě uloží do LSO sušenky.

A pokud jsem vás nepřesvědčil, vězte, že stejnou cestou jdou i ostatní webové technologie, které chtějí na vašem počítači uchovat nějakou persistentní (trvalou) informaci. Vedle klasických cookies a LSO sušenek sem samozřejmě patří také Silverlight od Microsoftu, Google Gears ale také připravovaná norma HTML5, která také umožňuje webovým stránkám trvale ukládat libovolné informace do lokální databáze na vašem pevném disku.

Medializovaný bezpečnostní problém okolo flashových cookies je tak z velké části produktem okurkové sezóny, skutečně závažným bezpečnostním rizikem by totiž byla schopnost Flashe číst i LSO sušenky vytvořené cizími weby, nebo kdyby uměl zapisovat i někam jinam mimo vyhrazenou paměť pro Local Shared Object. To je ale samozřejmě nemožné. Ostatní rizika spojená s cookies obecně jsou už pouze výsledkem špatné bezpečnostní politiky mnoha webových služeb.


Více informací o flashových cookies najdete na webu Adobe
nebo na
anglické Wikipedii

Témata článku: Web, Technologie, Bezpečnost, Flash, Cookies, Player, Widget, Silverlight, Walt Disney, Adobe Reader, Google Analytics, Disney, Roaming

51 komentářů

Nejnovější komentáře

  • Ron.Jeremy 20. 9. 2010 0:34:17
    Ano, a to je právě to zbytečné úsilí. Přitom by stačilo zkracovače...
  • five-min 15. 9. 2010 17:03:31
    Ale i v opeře je možnost. Stačí k tomu jednoduchý...
  • Honza9800 21. 8. 2010 13:40:05
    V době kdy jsem aktivně práskal tak jsem v exe a dll taky měl sušenky bylo...
reklama
Určitě si přečtěte


reklama