Adobe Flash用戶:請笑一個給世界看,您上鏡頭了!
洪朝貴

 如果您在乎隱私,如果您知道適時清除甚至偶爾要阻止cookie以保護隱私的重要性,那麼您更應該要注意flash侵犯隱私的問題。因為它的sol(Local Shared Object)比cookie更少人知道,比cookie更頑強(更難清除)。網站甚至可以透過您的flash啟動您的麥克風和網路攝影機,它甚至可以用來在您最沒有防備的時候-即使您以為這個網站沒有採用flash的時候-偷偷地讓世界看見您,聽見您。

 我一直以為自己很清楚採用Adobe flash技術的壞處。從網頁設計的角度來看,flash技術製造沒意義的瀏覽障礙。它提高貴站的瀏覽門檻,降低貴站速率,浪費貴站的頻寬,把網站本應享有的點閱率拋售給Adobe【註1】。從聰明網路行銷【註2】的角度來看,濫用flash,把重要的圖文連結選單按鍵藏在flash裡面,是網站流量的致命傷之一。

 這幾天上網認真查文章,才發現我所知道的,太膚淺了。

 上面那些也都是事實;不過這些都只是老闆/網頁設計師的觀點。這幾天我才得知:flash傷害的,不只是網站主人;它還傷害你-任何一位上網者。

 請在您的電腦裡搜尋附檔名為.sol的檔案。我在Linux下,找到的*.sol 都位於~/.macromedia/底下。媽媽咪亞!我甚少去flash重口味的網站;用的也不是官方的flash播放器;但竟然也中了好幾鏢!因為連替代品gnash也支援sol【註3】。

 Sol就跟cookie一樣,有它建設性的用處。它可以幫網站記錄您在此的瀏覽歷史,例如這個flash小遊戲您已經闖到第幾關了、您都偏好買什麼樣的產品(這樣可以更精準地播放/貼上您可能有興趣的廣告)、記住您在本站的帳密(省得每次重打)…但是sol比cookie邪惡很多【註4】:

  1. 它存的資料量比cookie大。
  2. 甚少人知道它的存在-所以甚少人懂得要刪除它(像資訊人權貴這樣的人,理應早該知道的…) 。
  3. 瀏覽器(FF,IE…)的「清除隱私資料」功能,無法清除它。
  4. 事實上,甚至有網站用sol讓已刪除的cookies復活(【註5】,管風琴手:請播放僵屍片音樂)。
  5. 您以為在這個站沒看到flash就沒事?錯!沒有flash畫面的網站,照樣可以把sol存到您的電腦上【註6】)。
  6. Adobe的官方網站,有提供線上清除的功能(見上述文章);但是對於不甚瞭解技術者而言,如果他已經移除flash軟體,或是現在離線,就無法用這個功能清除sol。

 在Linux下,要永久拒絕sol,可以這樣:cd ~;rm -rf .macromedia/;ln -s /dev/null .macromedia/以後任何存取.macromedia/的企圖都會失敗。Windows的Firefox用戶,可安裝 BetterPrivacy【註7】套件。即使您永遠拒絕sol,大部分的flash 網站仍舊可以用【註8】。如果有些網站因此而忘記您是誰(每次造訪都像第一次來),那是正常的;如果有些網站因此而無法進入,您可考慮將它列為拒絕往來戶。

 被植入sol而不自覺,還不是安裝flash的最危險副作用。更邪惡的是,採用flash技術的網站,可以拿flash來偷偷打開您的麥克風和網路攝影機【註9】。Adobe的安全更新,尚未完全善後【註10】。對於技術有興趣的讀者,請見可能的攻擊方法(【註11】,並不是完整列表),想要親自體驗個人隱私全都露的讀者,可以先閱讀 Will 的中文文章【註12】。 點他所給的連結,然後請笑一個給世界看,您上鏡頭了!

 用白話文再講一遍:只要您的電腦有裝flash(幾乎每個人的電腦都有裝),只要您的麥克風和網路攝影機沒有刻意遮起來,那麼您造訪任何網站(即使您以為這個站沒用到flash),都有被偷拍偷聽(然後公開貼上網路)的風險。真是感謝Adobe提供的flash,讓我們不知何時突然就會在最不期待的情況下,透過網路赤裸裸地看到聽到彼此!

 誠然,Adobe並沒有直接、蓄意侵犯您的隱私。但另一方面,您也可以很清楚地看到:對Adobe而言,照顧瀏覽者隱私,從來都不是他們最重要的考量-除非被專家爆料。即使被爆料之後,他們也不敢大聲提醒所有用戶…提醒用戶怎樣?除了刪除flash,沒有百分之百的解決方案(刪除sol無助於解決上述偷偷開啟麥克風/攝影機的問題)。Adobe為了保護自己的市佔率,不可能提醒你要刪除flash。Adobe必須犧牲消費者的隱私。抱歉,數位時代的侏羅紀公園就是這麼現實殘酷。

 怎麼解決這個問題?如果大家停用flash,這個世界會好很多。Flash最大的問題,在於它由單一廠商開發。閉門造車,外人對於設計缺陷無從置喙。相對地,例如html 5的影片播放功能,由眾多廠商及非營利組織共同開發,在安全性的全面考量上,會比較完整。如果需要互動功能,可以考慮squeak/seaside。

 現實來說,全面停用是不可能的-我的姪子姪女天天打flash game;連我這個死硬派,偶爾都必須上YouTube。我們能做的,就是盡量尋找替代方案,減少必須使用flash的時機。例如股票(呵呵…太久沒看了)最近發現yahoo的線圖變成也需要flash。所以我改用聚財網【註13】。也請大家幫忙告訴大家-老師們請在電腦課/公民課…告訴學生;讀者們請用力轉貼這篇文章(請註明出處;原文有許多超連結)。讓我們用輿論/利害關係【註14】/消費力量,給濫用flash的網站一些壓力,讓flash變成「只有少數特定時機才需要偶爾打開」的功能。

 如果有年輕人願意像我十年前投入阻止doc的散佈【註15】,那麼從現在開始的十年後,也許有機會讓flash的危害停留在一定的限度-至少十年後有機會讓大家懂得不要盲目濫用flash的最新版毒藥功能。不過我自己已經分身乏術。在注意力經濟【註16】年代,投入「覺醒類社會運動」【註17】,是一件利人利己的事。請有意識地上鏡頭,告訴大家 flash 的嚴重問題,讓世界因您而覺醒吧!

arrow
arrow
    全站熱搜

    nan 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄