Flash prý skrývá nebezpečí, říká se mu Flash Cookies

Americká marketingová společnost čelí žalobě, skenovala surfaře bez jejich vědomí. Do hledáčku médií se dostala prý potenciálně nebezpečná technologie flashových sušenek.

Možná jste v posledních dnech zaslechli termín Flash Cookies – patrně v souvislosti s žalobou na Clearspring Technologies, která skrze své partnery sledovala surfaře na webu. Bez jejich vědomí a právě skrze exotickou technologii Local Shared Objects neboli „Flash Cookies“.

Flash má vlastní sušenky a málokdo to ví...

Oč se jedná? Už podle familiárnějšího názvu je zřejmé, že jde o vcelku běžné sušenky, o které se nicméně nestará prohlížeč, ale Flash Player. Z toho plyne několik vcelku logických zásad. Pokud ve svém prohlížeči zakážete ukládání cookies (nebo je jednoduše všechny smažete), nijak se to nedotkne těch flashových. Flash Player je totiž samostatný doplněk logický nezávislý na prohlížeči, ten do něj tedy nemůže nikterak vstupovat a naopak. Flashové sušenky mohou zároveň nabývat mnohem větší kapacity (můžete nastavit i neomezenou kvótu), mohou tedy obsahovat celé texty informací. No a nakonec to nejzákeřnější – média si jich všímají až v poslední době, svůj poměrně neškodný život si ale přitom žijí už od Macromedia Flash Playeru 6, který spatřil světlo světa na jaře před osmi lety.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Klasické HTTP sušenky v Chromu a ty, které používá Flash Player
Pro jejich správu přejděte na tuto adresu

No dobrá, zpět k soudnímu případu. Kde je zakopaný pes? Clearspring Technologies se živí webovým marketingem, propagací (patří ji mimochodem třeba doplněk pro snadné sdílení adres na sociálních sítích AddThis) a také analýzou chování spotřebitelů.

Spotřebitele (rozuměj jakéhokoliv surfaře) můžete identifikovat a sledovat třeba skrze klasickou cookies sušenku. Dejme tomu, že vytvoříte nějaký pěkný webový widget, který začne používat milion různorodých webů. Widget při prvním zobrazení uloží do cookies jedinečný identifikátor vašeho počítače a kdykoliv se widget znovu načte na některém z té obrovské hromady webů (třeba ve vlastním iframu, může tedy použít sušenku patřící stále jedné a jediné doméně), do databáze se započítá vaše návštěva. Pokud si pak analytik vypíše seznam všech návštěv jednoho identifikátoru, zjistí všechny vaše přístupy, celou vaši historii na všech zastoupených webech.

Téměř nesmrtelné sušenky

Možná to vypadá jako horor, ale takhle to prostě na internetu funguje – takové „widgety“ skutečně existují. Ostatně stačí si představit třeba možnosti Google Analytics a jeho kódu uvnitř každého druhého webu, v případě těch českých pak třeba měřící kódy Navrcholu.cz, Toplist.cz a další. Neznamená to pochopitelně, že by nás podobné služby měly implicitně sledovat a že to až takto podrobně per capita dělají, díky své rozšířenosti ale mají tu potenciální moc.

Klepněte pro větší obrázek
Nejrůznější anonymní režimy prohlížeče se sice postarají o to, aby se na počítač neukládaly
klasické HTTP cookies, těch flashových se to ale pochopitelně netýká 

Cookies v prohlížeči můžete blokovat, neustále mazat a jinak perzekuovat, s touto praxi si ale surfování docela drasticky znepříjemníte, cookies se totiž v pomyslných devadesáti procentech případů používají k celkem běžným úkonům, které mají zjednodušit a urychlit surfování – třeba právě tím, že si pomocí identifikátoru v cookies udržíte spojení a nebudete se muset z domácího počítače opakovaně přihlašovat k poště. Jinými slovy, internet má svá úskalí a kdokoliv hledá bezpečnostní sterilitu bez gramu rizika, nechť zapomene na všechny výdobytky posledních deseti let počínaje platebními systémy a konče sociálními sítěmi. Čím univerzálnější je technologie, tím více rizik na vás číhá.

Jak jsem již psal v úvodu, sušenky, které používá Flash Player, nemůžete smazat v nastavení prohlížeče. Ačkoliv na tuto realitu nezapomene upozornit ani jeden pisatel, není to nic divného – je to dokonce zcela normální. Flash Player není integrální součástí prohlížeče – je to modul, který se chová podobně jako Adobe Reader, Silverlight – žije si tedy vlastním životem. Má tedy i vlastní nastavení přímo na stránkách adobe.com. Stačí klepnout sem a objevíte zcela nový svět flashových cookies, i když si třeba myslíte, že surfujete v naprosto anonymním režimu. Sušenky zde můžete smazat, nebo klidně všechny pro příště zablokovat. Zároveň je najdete i na svém počítači – majitelé Windows Vista/7 nechť se podívají do složky C:\Users\<uživ.jméno>\AppData\Roaming\Macromedia\Flash Player\#SharedObjects. Její veškerý obsah včetně složek tvoří flashové sušenky, které si vytváří a spravují samostatné flashové aplikace na webu.

Klepněte pro větší obrázek
Flashové sušenky na vašem počítači

Mnozí správci stránek je využívají i k jakémusi sušenkovému přemostění. Bez problému mohou do flashových cookies ukládat to samé, co do klasických HTTP sušenek. No, a pokud ty webové smažete, obnoví se právě z persistentní flashové paměti. Chytré, že?

Jak to bylo s tou žalobou?

Případ s jedním widgetem na hromadě webů souvisí i s žalobou na Clearspring Technologies. Ta totiž na weby partnerů nasadila měřící kód, použila přitom trvalejší a chytřejší flashové cookies. Měřící kód se pak dostal na velké weby Walt Disney. Demand Media a další a nastal problém. Ve Státech (stejně jako v Británii a mnoha dalších zemích) je totiž ilegální ždímat ze surfařů data bez jejich svolení. Soud teď musí rozhodnout, jestli lze za toto „ždímání“ považovat i cookies a tento konkrétní případ.

Nafouknutá bublina?

Na technologii Local Shared Objects však principiálně nic špatného není, vždy jde pouze o to, jak ji ten či onen autor webu použije. Dnes flashové cookies používá většina provozovatelů nějakého flashového obsahu, ale čistě k „mírovým“ účelům. Takovým příkladem může být třeba nastavení hlasitosti videa ve flashovém videopřehrávači – vámi nastavená hodnota se prostě uloží do LSO sušenky.

A pokud jsem vás nepřesvědčil, vězte, že stejnou cestou jdou i ostatní webové technologie, které chtějí na vašem počítači uchovat nějakou persistentní (trvalou) informaci. Vedle klasických cookies a LSO sušenek sem samozřejmě patří také Silverlight od Microsoftu, Google Gears ale také připravovaná norma HTML5, která také umožňuje webovým stránkám trvale ukládat libovolné informace do lokální databáze na vašem pevném disku.

Medializovaný bezpečnostní problém okolo flashových cookies je tak z velké části produktem okurkové sezóny, skutečně závažným bezpečnostním rizikem by totiž byla schopnost Flashe číst i LSO sušenky vytvořené cizími weby, nebo kdyby uměl zapisovat i někam jinam mimo vyhrazenou paměť pro Local Shared Object. To je ale samozřejmě nemožné. Ostatní rizika spojená s cookies obecně jsou už pouze výsledkem špatné bezpečnostní politiky mnoha webových služeb.


Více informací o flashových cookies najdete na webu Adobe
nebo na
anglické Wikipedii

Diskuze (51) Další článek: T-Mobile má nové tarify pro mobilní připojení k internetu

Témata článku: Technologie, Web, Bezpečnost, Flash, Google Analytics, Cookie, Flash Player, Lokální data, Samostatný doplněk, Webový widget, Walt Disney, Nafouknutá bublina, Cookies, Exotický svět, Nebezpečí, Běžný úkon, Anonymní síť, Samostatná stránka, Widget, Adobe Flash Player, Bezpečnostní složka, Jedinečný identifikátor, Nebe, Silverlight, Disney, Kvalitní počítače na Mall.cz


Určitě si přečtěte

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

** Šifrovaný web je dnes už samozřejmost ** Jeden díl skládačky ale ještě chybí – DNS ** Firefox už začal a teď se na šifrované DNS chystá i Chrome

Jakub Čížek | 96

Antivir zdarma: 8 bezplatných řešení, která zatočí s havětí v počítači

Antivir zdarma: 8 bezplatných řešení, která zatočí s havětí v počítači

** Součástí Windows 10 je integrovaný antivirový program. Stačí to? ** Představíme vám sedm aplikací na boj proti virům a malwaru ** Všechny jsou k dispozici zdarma a některé ani nemusíte instalovat

Karel Kilián | 31

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

** Google představil nový kvantový čip s 53 qubity ** Oznámil, že díky němu lidstvo poprvé dosáhlo kvantové nadvlády ** IBM toto tvrzení zlehčuje

Karel Javůrek | 15

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 102

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

** Bezdrátové myši řídí čip od Nordic Semiconductors ** Jeho rádiové vysílače si před lety oblíbila i komunita kutilů ** Dnes si je vyzkoušíme v praxi

Jakub Čížek | 9

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

** Je to velké jako Raspberry Pi ** Ale je to až o několik řádů rychlejší ** Dorazil nám exotický Google Coral s akcelerátorem Edge TPU

Jakub Čížek | 18


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky