安全技巧:阻止Flash cookie 遏制僵尸横行

Flash cookie,亦称本地共享对象(LSO),它能够存储关于用户的信息并跟踪其在互联网上的活动情况。

许多单位都阻止、限制或管理计算机上的cookie,以防止信息泄露,避免风险。但是,如果用户并没有针对Adobe Flash的本地共享对象采取防御,就容易暴露在第三方cookie(并无任何保护)所固有的数据嗅探问题中。

上个月,在一起针对Quantcast、MySpace等公司的诉讼中,“僵尸cookie”进入了公众的视野。上周类似的诉讼再掀波澜,这次牵涉到了迪斯尼和华纳兄弟、Clearspring等。

在Quantcast 和 Clearspring的帮助下,僵尸cookie技术得以“发扬光大”,并使得僵尸cookie植入到全世界的计算机中。它们已经并且继续从关于用户浏览倾向的信息中“大快朵颐”。这正是它们被单独列出来的原因。受到起诉的其它大腕公司都买入了僵尸cookie技术,很明显是受到了Quantcast 和 Clearspring的协助。

对于管理员来说,阻止或控制用户浏览器的cookie并不会自动消除Flash cookie:僵尸技术仍存,即使仅需要很短的一段时间。

这就是正在发生的问题。每一台运行adobe flash的计算机(运行flash的计算机比运行windows的都要多!)都留出了一块区域,在其中网站可以存储和检索信息。正如它的名字一样,“本地共享对象”在Web会话期间一直存在,这正如普通的cookie一样。与普通的cooke所不同的是,flash的“本地共享对象”并没有设置终止日期,而且不受任何浏览器的设置的控制。用户也许可以继续配置公司的浏览器来阻止cookie,或者拒绝第三方的cookie,但是这些设置对于Flash的本地共享对象毫无作用。

僵尸cookie要在那些能够设置了cookie的“聪明”网站中兴风作浪,但是还要在flash的本地共享对象区域中设置一个类似的备份cookie。当浏览器返回到网站(或者一个内容受其它网站托管的网站)时,这个网站就会以通常的方式查找有没有一个cookie。如果没有cookie,网站就会到flash本地共享对象区域中查找,然后,如果可能的话,就重新构建cookie。如此一来,即使你设置的策略在会话期间或者在会话结束时清除了cookie,flash的本地共享对象数据仍能帮助网站让cookie起死回生。

你可能会认为,一旦adobe(flash的生产厂商)知道了flash被用来破坏用户和公司的cookie设置,就会进行flash cookie的防御,发布大量的公告和工具以便于准许个人和公司去控制flash的本地共享对象数据。其实不然。我们所有flash用户收到的只不过是一份已提交给美国联邦贸易委员会的谴责立场声明,其中写道:

Adobe谴责在未得到用户的认可及明确同意的情况下,利用本地存储器来备份浏览器的cookie从而恢复此cookie的做法。

阻止flash 的cookie并不那么直接了当。“本地共享对象”存储在扩展名为.SOL的文件中。在多数Windows个人电脑中,它们位于%APPDATA%MacromediaFlash Player#SharedObjects 及 %APPDATA%MacromediaFlash Playermacromedia.comsupportflashplayersys中。

在两年多以来,adobe的清除和阻止flash本地共享对象的官方方法并没有什么变化。为了以官方方式阻止flash cookie,用户必须访问adobe的Flash player 的设置管理器站点,并调整网页顶部那个图中的设置。(你可能觉得难以相信,这个图就像一个屏幕截图。但事实上,这就是设置管理器,它改变了PC用于查看flash cookie的设置。)

就笔者所知,Adobe并没有准备发布一个程序或其它任何一样产品,以便于让用户控制flash cookie。所有的用户都必须自己访问其网站,自己手动调整。