Login  |  繁體中文
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
Previous Issue

Adobe Flash 用戶:請笑一個給世界看,您上鏡頭了!

如果您在乎隱私,如果您知道適時清除甚至偶爾要阻止 cookie 以保護隱私的重要性,那麼您更應該要注意 flash 侵犯隱私的問題。因為它的 sol(Local Shared Object)比 cookie 更少人知道,比 cookie 更頑強(更難清除)。網站甚至可以透過您的 flash 啟動您的麥克風和網路攝影機,它甚至可以用來在您最沒有防備的時候-即使您以為這個網站沒有採用 flash 的時候-偷偷地讓世界看見您,聽見您。

我一直以為自己很清楚採用 Adobe flash 技術的壞處。從網頁設計的角度來看,flash 技術製造沒意義的瀏覽障礙。它提高貴站的瀏覽門檻,降低貴站速率,浪費貴站的頻寬,把網站本應享有的點閱率拋售給 Adobe(註1)。從聰明網路行銷(註2)的角度來看,濫用 flash,把重要的圖文連結選單按鍵藏在 flash 裡面,是網站流量的致命傷之一。

這幾天上網認真查文章,才發現我所知道的,太膚淺了。

上面那些也都是事實;不過這些都只是老闆/網頁設計師的觀點。這幾天我才得知:flash 傷害的,不只是網站主人;它還傷害你-任何一位上網者。

請在您的電腦裡搜尋附檔名為 .sol 的檔案。我在 Linux 下,找到的 *.sol 都位於 ~/.macromedia/ 底下。媽媽咪亞!我甚少去 flash 重口味的網站;用的也不是官方的 flash 播放器;但竟然也中了好幾鏢!因為連替代品 gnash 也支援 sol(註3)。

Sol 就跟 cookie 一樣,有它建設性的用處。它可以幫網站記錄您在此的瀏覽歷史,例如這個 flash 小遊戲您已經闖到第幾關了、您都偏好買什麼樣的產品(這樣可以更精準地播放/貼上您可能有興趣的廣告)、記住您在本站的帳密(省得每次重打)…

但是 sol 比 cookie邪惡很多(註4):

1、它存的資料量比 cookie 大。
2、甚少人知道它的存在-所以甚少人懂得要刪除它。(像資訊人權貴這樣的人,理應早該知道的…)
3、瀏覽器(FF,IE…)的「清除隱私資料」功能,無法清除它。
4、事實上,甚至有網站用 sol 讓已刪除的 cookies 復活(註5,管風琴手:請播放僵屍片音樂)
5、您以為在這個站沒看到 flash 就沒事?錯!沒有 flash 畫面的網站,照樣可以把 sol 存到您的電腦上。(註6
6、Adobe 的官方網站,有提供線上清除的功能(見上述文章);但是對於不甚了解技術者而言,如果他已經移除 flash 軟體,或是現在離線,就無法用這個功能清除 sol。

在 Linux 下,要永久拒絕 sol,可以這樣:cd ~ ;rm -rf .macromedia/ ;ln -s /dev/null .macromedia/ 以後任何存取 .macromedia/ 的企圖都會失敗。Windows 的 Firefox 用戶,可安裝 BetterPrivacy(註7)套件。即使您永遠拒絕 sol,大部分的 flash 網站仍舊可以用(註8)。如果有些網站因此而忘記您是誰(每次造訪都像第一次來),那是正常的;如果有些網站因此而無法進入,您可考慮將它列為拒絕往來戶。

被植入 sol 而不自覺,還不是安裝 flash 的最危險副作用。更邪惡的是,採用 flash 技術的網站,可以拿 flash 來偷偷打開您的麥克風和網路攝影機(註9)。Adobe 的安全更新,尚未完全善後(註10)。對於技術有興趣的讀者,請見可能的攻擊方法(註11,並不是完整列表)想要親自體驗個人隱私全都露的讀者,可以先閱讀 Will 的中文文章(註12)。點他所給的連結,然後請笑一個給世界看,您上鏡頭了!用白話文再講一遍:只要您的電腦有裝 flash(幾乎每個人的電腦都有裝),只要您的麥克風和網路攝影機沒有刻意遮起來,那麼您造訪任何網站(即使您以為這個站沒用到 flash),都有被偷拍偷聽(然後公開貼上網路)的風險。真是感謝 Adobe 提供的 flash,讓我們不知何時突然就會在最不期待的情況下,透過網路赤裸裸地看到聽到彼此!

誠然,Adobe 並沒有直接、蓄意侵犯您的隱私。但另一方面,您也可以很清楚地看到:對 Adobe 而言,照顧瀏覽者隱私,從來都不是他們最重要的考量-除非被專家爆料。即使被爆料之後,他們也不敢大聲提醒所有用戶…提醒用戶怎樣?除了刪除 flash,沒有百分之百的解決方案。(刪除 sol 無助於解決上述偷偷開啟麥克風/攝影機的問題。)Adobe 為了保護自己的市佔率,不可能提醒你要刪除 flash。Adobe 必須犧牲消費者的隱私。抱歉,數位時代的侏羅紀公園就是這麼現實殘酷。

怎麼解決這個問題?如果大家停用 flash,這個世界會好很多。Flash 最大的問題,在於它由單一廠商開發。閉門造車,外人對於設計缺陷無從置喙。相對地,例如 html 5 的影片播放功能,由眾多廠商及非營利組織共同開發,在安全性的全面考量上,會比較完整。如果需要互動功能,可以考慮 squeak/seaside。

現實來說,全面停用是不可能的-我的姪子姪女天天打 flash game;連我這個死硬派,偶爾都必須上 YouTube。我們能做的,就是盡量尋找替代方案,減少必須使用 flash 的時機。例如股票(呵呵…太久沒看了)最近發現 yahoo 的線圖變成也需要 flash。所以我改用聚財網(註13)。也請大家幫忙告訴大家-老師們請在電腦課/公民課…告訴學生;讀者們請用力轉貼這篇文章。(請註明出處;原文有許多超連結。)讓我們用輿論/利害關係(註14)/消費力量,給濫用 flash 的網站一些壓力,讓 flash 變成「只有少數特定時機才需要偶爾打開」的功能。

如果有年輕人願意像我十年前投入阻止 doc 的散佈(註15),那麼從現在開始的十年後,也許有機會讓 flash 的危害停留在一定的限度-至少十年後有機會讓大家懂得不要盲目濫用 flash 的最新版毒藥功能。不過我自己已經分身乏術。在注意力經濟(註16)年代,投入「覺醒類社會運動」(註17),是一件利人利己的事。請有意識地上鏡頭,告訴大家 flash 的嚴重問題,讓世界因您而覺醒吧!

※ 本文已徵得洪朝貴老師同意轉載,原文請見其部落格




OSSF Newsletter : 第 134 期 Adobe Flash 用戶:請笑一個給世界看,您上鏡頭了!

Category: FOSS Forum