Flash prý skrývá nebezpečí, říká se mu Flash Cookies

Americká marketingová společnost čelí žalobě, skenovala surfaře bez jejich vědomí. Do hledáčku médií se dostala prý potenciálně nebezpečná technologie flashových sušenek.

Možná jste v posledních dnech zaslechli termín Flash Cookies – patrně v souvislosti s žalobou na Clearspring Technologies, která skrze své partnery sledovala surfaře na webu. Bez jejich vědomí a právě skrze exotickou technologii Local Shared Objects neboli „Flash Cookies“.

Flash má vlastní sušenky a málokdo to ví...

Oč se jedná? Už podle familiárnějšího názvu je zřejmé, že jde o vcelku běžné sušenky, o které se nicméně nestará prohlížeč, ale Flash Player. Z toho plyne několik vcelku logických zásad. Pokud ve svém prohlížeči zakážete ukládání cookies (nebo je jednoduše všechny smažete), nijak se to nedotkne těch flashových. Flash Player je totiž samostatný doplněk logický nezávislý na prohlížeči, ten do něj tedy nemůže nikterak vstupovat a naopak. Flashové sušenky mohou zároveň nabývat mnohem větší kapacity (můžete nastavit i neomezenou kvótu), mohou tedy obsahovat celé texty informací. No a nakonec to nejzákeřnější – média si jich všímají až v poslední době, svůj poměrně neškodný život si ale přitom žijí už od Macromedia Flash Playeru 6, který spatřil světlo světa na jaře před osmi lety.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Klasické HTTP sušenky v Chromu a ty, které používá Flash Player
Pro jejich správu přejděte na tuto adresu

No dobrá, zpět k soudnímu případu. Kde je zakopaný pes? Clearspring Technologies se živí webovým marketingem, propagací (patří ji mimochodem třeba doplněk pro snadné sdílení adres na sociálních sítích AddThis) a také analýzou chování spotřebitelů.

Spotřebitele (rozuměj jakéhokoliv surfaře) můžete identifikovat a sledovat třeba skrze klasickou cookies sušenku. Dejme tomu, že vytvoříte nějaký pěkný webový widget, který začne používat milion různorodých webů. Widget při prvním zobrazení uloží do cookies jedinečný identifikátor vašeho počítače a kdykoliv se widget znovu načte na některém z té obrovské hromady webů (třeba ve vlastním iframu, může tedy použít sušenku patřící stále jedné a jediné doméně), do databáze se započítá vaše návštěva. Pokud si pak analytik vypíše seznam všech návštěv jednoho identifikátoru, zjistí všechny vaše přístupy, celou vaši historii na všech zastoupených webech.

Téměř nesmrtelné sušenky

Možná to vypadá jako horor, ale takhle to prostě na internetu funguje – takové „widgety“ skutečně existují. Ostatně stačí si představit třeba možnosti Google Analytics a jeho kódu uvnitř každého druhého webu, v případě těch českých pak třeba měřící kódy Navrcholu.cz, Toplist.cz a další. Neznamená to pochopitelně, že by nás podobné služby měly implicitně sledovat a že to až takto podrobně per capita dělají, díky své rozšířenosti ale mají tu potenciální moc.

Klepněte pro větší obrázek
Nejrůznější anonymní režimy prohlížeče se sice postarají o to, aby se na počítač neukládaly
klasické HTTP cookies, těch flashových se to ale pochopitelně netýká 

Cookies v prohlížeči můžete blokovat, neustále mazat a jinak perzekuovat, s touto praxi si ale surfování docela drasticky znepříjemníte, cookies se totiž v pomyslných devadesáti procentech případů používají k celkem běžným úkonům, které mají zjednodušit a urychlit surfování – třeba právě tím, že si pomocí identifikátoru v cookies udržíte spojení a nebudete se muset z domácího počítače opakovaně přihlašovat k poště. Jinými slovy, internet má svá úskalí a kdokoliv hledá bezpečnostní sterilitu bez gramu rizika, nechť zapomene na všechny výdobytky posledních deseti let počínaje platebními systémy a konče sociálními sítěmi. Čím univerzálnější je technologie, tím více rizik na vás číhá.

Jak jsem již psal v úvodu, sušenky, které používá Flash Player, nemůžete smazat v nastavení prohlížeče. Ačkoliv na tuto realitu nezapomene upozornit ani jeden pisatel, není to nic divného – je to dokonce zcela normální. Flash Player není integrální součástí prohlížeče – je to modul, který se chová podobně jako Adobe Reader, Silverlight – žije si tedy vlastním životem. Má tedy i vlastní nastavení přímo na stránkách adobe.com. Stačí klepnout sem a objevíte zcela nový svět flashových cookies, i když si třeba myslíte, že surfujete v naprosto anonymním režimu. Sušenky zde můžete smazat, nebo klidně všechny pro příště zablokovat. Zároveň je najdete i na svém počítači – majitelé Windows Vista/7 nechť se podívají do složky C:\Users\<uživ.jméno>\AppData\Roaming\Macromedia\Flash Player\#SharedObjects. Její veškerý obsah včetně složek tvoří flashové sušenky, které si vytváří a spravují samostatné flashové aplikace na webu.

Klepněte pro větší obrázek
Flashové sušenky na vašem počítači

Mnozí správci stránek je využívají i k jakémusi sušenkovému přemostění. Bez problému mohou do flashových cookies ukládat to samé, co do klasických HTTP sušenek. No, a pokud ty webové smažete, obnoví se právě z persistentní flashové paměti. Chytré, že?

Jak to bylo s tou žalobou?

Případ s jedním widgetem na hromadě webů souvisí i s žalobou na Clearspring Technologies. Ta totiž na weby partnerů nasadila měřící kód, použila přitom trvalejší a chytřejší flashové cookies. Měřící kód se pak dostal na velké weby Walt Disney. Demand Media a další a nastal problém. Ve Státech (stejně jako v Británii a mnoha dalších zemích) je totiž ilegální ždímat ze surfařů data bez jejich svolení. Soud teď musí rozhodnout, jestli lze za toto „ždímání“ považovat i cookies a tento konkrétní případ.

Nafouknutá bublina?

Na technologii Local Shared Objects však principiálně nic špatného není, vždy jde pouze o to, jak ji ten či onen autor webu použije. Dnes flashové cookies používá většina provozovatelů nějakého flashového obsahu, ale čistě k „mírovým“ účelům. Takovým příkladem může být třeba nastavení hlasitosti videa ve flashovém videopřehrávači – vámi nastavená hodnota se prostě uloží do LSO sušenky.

A pokud jsem vás nepřesvědčil, vězte, že stejnou cestou jdou i ostatní webové technologie, které chtějí na vašem počítači uchovat nějakou persistentní (trvalou) informaci. Vedle klasických cookies a LSO sušenek sem samozřejmě patří také Silverlight od Microsoftu, Google Gears ale také připravovaná norma HTML5, která také umožňuje webovým stránkám trvale ukládat libovolné informace do lokální databáze na vašem pevném disku.

Medializovaný bezpečnostní problém okolo flashových cookies je tak z velké části produktem okurkové sezóny, skutečně závažným bezpečnostním rizikem by totiž byla schopnost Flashe číst i LSO sušenky vytvořené cizími weby, nebo kdyby uměl zapisovat i někam jinam mimo vyhrazenou paměť pro Local Shared Object. To je ale samozřejmě nemožné. Ostatní rizika spojená s cookies obecně jsou už pouze výsledkem špatné bezpečnostní politiky mnoha webových služeb.


Více informací o flashových cookies najdete na webu Adobe
nebo na
anglické Wikipedii

Diskuze (51) Další článek: T-Mobile má nové tarify pro mobilní připojení k internetu

Témata článku: Technologie, Bezpečnost, Web, Flash, Cookies, Nebezpečí, Silverlight, Bezpečnostní složka, Flashové video, Samostatná stránka, COO, Anonymní síť, Walt Disney, Disney, Flash Player, Webový widget, Běžný úkon, Cookie, Samostatný doplněk, Bezpečnostní riziko, Lokální data, Adobe Flash Player, Jedinečný identifikátor, Nebe, Google Analytics



Recenze notebooku Asus ExpertBook B9. Ostrá zbraň pro ty nejnáročnější profesionály

Recenze notebooku Asus ExpertBook B9. Ostrá zbraň pro ty nejnáročnější profesionály

Asus cílí i na profesionální sféru a jeho ExpertBook B9 pak na pracovníky, kteří se vydávají na dlouhé cesty, na nichž chtějí být maximálně efektivní.

Antonín Trčálek
AsusTestyNotebooky
Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

** Materiál „Kit 300“ představuje vizuální i termální kamufláž ** Dokáže zablokovat tepelné vyzařování maskovaného vojáka či třeba stroje ** Velký kus materiálu Kit 300 může ukrýt vozidlo až do velikosti Hummeru

Stanislav Mihulka
IzraelMateriálArmáda
Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

** Sdílení účtů mezi kamarády je jen začátek ** Dnes letí nákupy předplatných v Indii nebo na Aliexpressu ** Superlevné „netflixy“ ale mohou nakonec spíš škodit

Lukáš Václavík
PředplatnéNetflixSpotify
Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

Lék proti depresi za stokorunu snižuje riziko těžkého průběhu i úmrtí na onemocnění covid-19

** Klinická studie zkoumala vliv antidepresiva fluvoxamin na covid-19 ** Počet úmrtí souvisejících s covidem-19 klesl zhruba o 90 % ** Potřeba intenzivní lékařské péče se snížila zhruba o 65 %

Karel Kilián
COVID-19LékyDepreseMedicína
Nejlepší filmy na Netflixu v roce 2021. Všechny mají český dabing nebo titulky

Nejlepší filmy na Netflixu v roce 2021. Všechny mají český dabing nebo titulky

Tyto filmy byly v roce 2021 na českém Netflixu nejoblíbenější. Nerozlišujeme žánr, stáří ani hodnocení na filmových webech. Jde o oblíbenost, kterou sleduje web FlixPatrol a počítá z ní souhrnné žebříčky.

Ondřej Králík
Netflix