藏經閣

一切有為法,如夢幻泡影,如露亦如電,應作如是觀。

By HUNG Chao-Kuei on Friday, August 28 2009, 18:44

source: http://blog.ofset.org/ckhung/index.php?post/098k

如果您在乎隱私, 如果您知道適時清除甚至偶爾要阻止 cookie 以保護隱私的重要性, 那麼您更應該要注意 flash 侵犯隱私的問題。 因為它的 sol (Local Shared Object) 比 cookie 更少人知道, 比 cookie 更頑強 (更難清除)。網站甚至可以透過您的 flash 啟動您的麥克風和網路攝影機, 它甚至可以用來在您最沒有防備的時候 -- 即使您以為這個網站沒有採用 flash 的時候 -- 偷偷地讓世界看見您, 聽見您。

我一直以為自己很清楚採用 Adobe flash 技術的壞處。從網頁設計的角度來看, flash 技術製造沒意義的瀏覽障礙。它提高貴站的瀏覽門檻, 降低貴站速率, 浪費貴站的頻寬, 把網站本應享有的點閱率拋售給 Adobe。從 聰明網路行銷 的角度來看, 濫用 flash, 把重要的圖文連結選單按鍵藏在 flash 裡面, 是網站流量的致命傷之一。

這幾天上網認真查文章, 才發現我所知道的, 太膚淺了。

上面那些也都是事實; 不過這些都只是老闆/網頁設計師的觀點。這幾天我才得知: flash 傷害的, 不只是網站主人; 它還傷害你 -- 任何一位上網者。

請在您的電腦裡搜尋附檔名為 .sol 的檔案。我在 Linux 下, 找到的 *.sol 都位於 ~/.macromedia/ 底下。媽媽咪亞! 我甚少去 flash 重口味的網站; 用的也不是官方的 flash 播放器; 但竟然也中了好幾鏢! 因為 連替代品 gnash 也支援 sol

Sol 就跟 cookie 一樣, 有它建設性的用處。它可以幫網站記錄您在此的瀏覽歷史, 例如這個 flash 小遊戲您已經闖到第幾關了﹑ 您都偏好買什麼樣的產品 (這樣可以更精準地播放/貼上您可能有興趣的廣告)﹑記住您在本站的帳密 (省得每次重打)﹑ ...。

但是 sol 比 cookie 邪惡很多:

  1. 它存的資料量比 cookie 大。
  2. 甚少人知道它的存在 -- 所以甚少人懂得要刪除它。 (像資訊人權貴這樣的人, 理應早該知道的...)
  3. 瀏覽器 (FF, IE, ...) 的 「清除隱私資料」 功能, 無法清除它。
  4. 事實上, 甚至有網站 用 sol 讓已刪除的 cookies 復活 (管風琴手: 請播放僵屍片音樂)
  5. 您以為在這個站沒看到 flash 就沒事? 錯! 沒有 flash 畫面的網站, 照樣可以把 sol 存到您的電腦上。
  6. Adobe 的官方網站, 有提供線上清除的功能 (見上述文章); 但是對於不甚了解技術者而言, 如果他已經移除 flash 軟體, 或是現在離線, 就無法用這個功能清除 sol。

在 Linux 下, 要永久拒絕 sol, 可以這樣: cd ~ ; rm -rf .macromedia/ ; ln -s /dev/null .macromedia 以後任何存取 .macromedia/ 的企圖都會失敗。 Windows 的 Firefox 用戶, 可安裝 BetterPrivacy 套件。 即使您永遠拒絕 sol, 大部分的 flash 網站仍舊可以用。如果有些網站因此而忘記您是誰 (每次造訪都像第一次來), 那是正常的; 如果有些網站因此而無法進入, 您可考慮將它列為拒絕往來戶。

被植入 sol 而不自覺, 還不是安裝 flash 的最危險副作用。更邪惡的是, 採用 flash 技術的網站, 可以 拿 flash 來偷偷打開您的麥克風和網路攝影機。 Adobe 的安全更新, 尚未完全善後。 對於技術有興趣的讀者, 請見 可能的攻擊方法。 (並不是完整列表) 想要親自體驗個人隱私全都露的讀者, 可以先閱讀 Will 的中文文章。 點他所給的連結, 然後請笑一個給世界看, 您上鏡頭了! 用白話文再講一遍: 只要您的電腦有裝 flash (幾乎每個人的電腦都有裝), 只要您的麥克風和網路攝影機沒有刻意遮起來, 那麼您造訪任何網站 (即使您以為這個站沒用到 flash), 都有被偷拍偷聽 (然後公開貼上網路) 的風險。 真是感謝 Adobe 提供的 flash, 讓我們不知何時突然就會在最不期待的情況下, 透過網路赤裸裸地看到聽到彼此!

誠然, Adobe 並沒有直接﹑蓄意侵犯您的隱私。但另一方面, 您也可以很清楚地看到: 對 Adobe 而言, 照顧瀏覽者隱私, 從來都不是他們最重要的考量 -- 除非被專家爆料。 即使被爆料之後, 他們也不敢大聲提醒所有用戶... 提醒用戶怎樣? 除了刪除 flash, 沒有百分之百的解決方案。 (刪除 sol 無助於解決上述偷偷開啟麥克風/攝影機的問題。) Adobe 為了保護自己的市佔率, 不可能提醒你要刪除 flash。 Adobe 必須犧牲消費者的隱私。抱歉, 數位時代的侏羅紀公園就是這麼現實殘酷。

怎麼解決這個問題? 如果大家停用 flash, 這個世界會好很多。 Flash 最大的問題, 在於它由單一廠商開發。閉門造車, 外人對於設計缺陷無從置喙。 相對地, 例如 html 5 的影片播放功能, 由眾多廠商及非營利組織共同開發, 在安全性的全面考量上, 會比較完整。如果需要互動功能, 可以考慮 squeak/seaside。

現實來說, 全面停用是不可能的 -- 我的姪子姪女天天打 flash game; 連我這個死硬派, 偶爾都必須上 YouTube。我們能做的, 就是盡量尋找替代方案, 減少必須使用 flash 的時機。例如股票 (呵呵... 太久沒看了) 最近發現 yahoo 的線圖變成也需要 flash。所以我改用 聚財網。也請大家幫忙告訴大家 -- 老師們請在電腦課/公民課/... 告訴學生; 讀者們請用力轉貼這篇文章。 (請註明出處; 原文有許多超連結。) 讓我們用輿論/ 利害關係/消費力量, 給濫用 flash 的網站一些壓力, 讓 flash 變成 「只有少數特定時機才需要偶爾打開」 的功能。

如果有年輕人願意像我十年前投入 阻止 doc 的散佈, 那麼從現在開始的十年後, 也許有機會讓 flash 的危害停留在一定的限度 -- 至少十年後有機會讓大家懂得不要盲目濫用 flash 的最新版毒藥功能。 不過我自己已經分身乏術。在 注意力經濟 年代, 投入 「覺醒類社會運動」, 是一件利人利己的事。請有意識地上鏡頭, 告訴大家 flash 的嚴重問題, 讓世界因您而覺醒吧!

如何在Blogger新增隨機文章

Blogger Hack - How to add a Random Post Gadget in Blogger)

 


0 意見

張貼留言

Archives