Local Shared Object: i cookie di Flash

Secondo una statistica di Jupiter Research relativa al 2004, il 39% dei navigatori del web ha cancellato regolarmente, una volta al mese, i cookie dalla cache del proprio browser. Il 58% li avrebbe eliminati almeno una volta nel corso dell’intero anno. Questi dati sembrano confermare un crescente interesse da parte degli utenti verso le tecnologie usate sulla rete e soprattutto verso i modi con i quali alcune persone cercano sistematicamente di abusarne.

I cookie di per sé non sono pericolosi e in molti casi si rivelano essenziali per migliorare l’interattività dei siti web. Spesso però vengono usati in modo indiscriminato per tracciare le abitudini in rete degli utenti al fine di personalizzare la visualizzazione dei banner pubblicitari. Questi tracking cookie contengono infatti un codice in grado di identificare univocamente il navigatore e di riconoscerlo durante i suoi spostamenti tra un sito e l’altro. Questo atteggiamento potrebbe anche essere tollerato se all’utente venisse data la possibilità di scegliere se essere tracciato oppure no, ma ciò, ovviamente, non avviene mai. Al navigatore quindi non rimane che difendersi usando gli strumenti messi a sua disposizione per eliminare i “biscottini” indesiderati: le opzioni del browser, il blocco automatico dei cookie di terze parti, i programmi antispyware sono alcune delle possibilità.

Dall’altro lato della barricata, a causa di questa nuova consapevolezza da parte degli utenti, i gestori di banner vedono falsati i dati da loro raccolti. Le loro analisi di lungo periodo vengono infatti vanificate dalla periodica cancellazione dei cookie. Per questo motivo United Virtualities ha annunciato una nuova tecnologia di salvataggio delle informazioni denominata PIE (Persistent Identification Element). Secondo i suoi creatori questa permetterà ai siti che ne faranno uso di effettuare un backup automatico dei cookie e di ripristinarli in caso di eliminazione. Per raggiungere il suo scopo PIE fa uso della tecnologia Macromedia Flash e di oggetti chiamati Local Shared Objects (LSO). La tecnologia di United Virtualities ha attualmente un grande vantaggio dovuto all’elevatissima diffusione del player di Macromedia su tutte le piattaforme software, alla scarsissima conoscenza degli LSO da parte degli utenti e all’assenza di specifici strumenti di rimozione integrati nei browser e nei programmi antispyware.

Di seguito si cercherà di porre rimedio a queste mancanze: si illustreranno le caratteristiche dei Local Shared Objects, si imparerà come controllarne e limitarne la memorizzazione e come eliminarli definitivamente. Infine si presenterà una utile estensione per Firefox che consente una loro gestione direttamente all’interno del browser.

Cosa sono gli LSO?

I Local Shared Objects, letteralmente oggetti condivisi localmente, vengono anche definiti come i cookie di Flash. Attraverso questi oggetti le animazioni Flash incluse nelle pagine web possono salvare informazioni sul nostro sistema per riutilizzarle ad una successiva visita. Applicazioni classiche sono la memorizzazione del nome utente usato per una autenticazione, il salvataggio delle impostazioni di personalizzazione di un sito o del livello raggiunto in un gioco online. Da qualche mese, come abbiamo accennato, in questi cookie speciali possiamo trovare tracciate anche le nostre abitudini di navigazione in rete.

Quelle che seguono sono alcune delle caratteristiche di questi oggetti:

• Gli LSO vengono memorizzati in una cartella che varia a seconda del sistema operativo. Su Windows XP potete trovarli nella cartella #SharedObjects all’interno della radice:

  C:Documents and SettingsUtenteDati applicazioniMacromediaFlashPlayer
  La cartella Dati applicazioni normalmente non risulta visibile. Per accedervi è necessario abilitare la visualizzazione dei file nascosti (Pannello di controllo-> Opzioni cartella-> scheda “Visualizzazione”-> selezionare “Visualizza cartelle e file nascosti”).
  All’interno della stessa radice una cartella macromedia.com contiene altri Shared Object usati per memorizzare le impostazioni di sicurezza personalizzate di cui si parlerà nei prossimi paragrafi.

• Gli LSO sono contenuti in file di estensione .sol salvati in sottocartelle aventi il nome del sito che li ha creati. In ognuno di questi file può essere memorizzato più di un solo LSO.
• A differenza dei cookie http, il cui contenuto è in formato ASCII, i Local Shared Objects adottano un formato binario e quindi non sono direttamente leggibili attraverso un editor di testo come il Blocco note.
• I cookie di Flash sono persistenti e non possiedono alcun meccanismo di scadenza automatica (expire) come avviene per i cookie classici.
• L’accesso al contenuto degli LSO è consentito unicamente alle animazioni Flash presenti in pagine appartenenti allo stesso dominio di quella che li ha creati.
• Senza uno specifico intervento da parte dell’utente ogni sito può normalmente memorizzare fino a 100KB di dati, equivalenti ad un massimo di 100 LSO.
• Le informazioni che possono essere memorizzate sono limitate a quelle a cui può accedere Flash Player. Queste si riducono ad eventuali dati forniti dal server remoto, ai dati forniti dall’utente mediante un form o all’interazione con l’animazione e alcune informazioni sulla configurazione del sistema. In nessun caso Flash può accedere a cartelle e file privati dell’utente.

Impostazioni di Flash per la gestione degli Shared Object

Flash Player consente sia l’impostazione di opzioni di sicurezza a livello globale, cioè relative a tutti i nuovi siti che in futuro verranno visitati, sia a livello di singolo sito tramite le impostazioni di archiviazione locale. Tra tutte le opzioni di sicurezza disponibili ci occuperemo unicamente di quelle riguardanti gli LSO.

Impostazioni di archiviazione locale

Si ricordi che tutte le impostazioni effettuate con questa procedura si riferiscono unicamente al sito che si sta configurando. Per accedere al pannello delle impostazioni di sicurezza è sufficiente cliccare con il tasto destro su di una animazione Flash contenuta in una pagina del sito web. Nel menù contestuale che compare clicchiamo sulla voce Impostazioni…

A questo punto comparirà il pannello visibile nella figura sottostante. Selezionando la seconda scheda, quella contraddistinta da una cartellina, si accede alle impostazioni di archiviazione locale. Qui possiamo definire la quantità di spazio massimo che desideriamo attribuire al sito per la memorizzazione degli LSO e possiamo vedere quanto di quello spazio è già stato occupato. Per impostazione predefinita ogni sito ha a disposizione 100KB. Spostando il cursore completamente verso destra consentiremo al sito di  memorizzare dati senza alcuna limitazione, se lo spostiamo completamente a sinistra lo spazio disponibile sarà azzerato e tutti i dati eventualmente già memorizzati saranno cancellati.

Se il sito richiede di memorizzare dati per una quantità di spazio superiore a quella impostata nel pannello, un avviso ci chiederà come comportarci. Potremo consentire o negare l’utilizzo dello spazio richiesto. Se desideriamo che questo avviso non venga mai visualizzato è sufficiente selezionare la casella Mai presente nella scheda di Archiviazione locale. In questo caso lo spazio aggiuntivo verrà sempre automaticamente negato.

Per ulteriori informazioni si consulti Impostazioni di archiviazione locale sul sito Macromedia.

Impostazioni a livello globale

Per accedere alle impostazioni predefinite che Flash attribuisce

ad ogni nuovo sito visitato è possibile consultare l’apposita pagina presente sul sito di Macromedia. È molto importante notare che l’immagine presente in cima alla pagina è in realtà una animazione Flash che dovrà essere usata per la configurazione. Le opzioni impostate infatti saranno a loro volta salvate sotto forma di LSO nella sottocartella macromedia.com presente sul nostro pc nella radice di memorizzazione degli Shared Object. I file contenenti tali LSO di configurazione hanno come nome settings.sol.

Le impostazioni generali di memorizzazione sono del tutto simili a quelle già viste precedentemente per i singoli siti. In più troviamo una opzione per consentire o negare la memorizzazione di FSO di terze parti. Per limitare il tracciamento da parte di tecnologie come PIE può essere una saggia idea disabilitare tale opzione.
Infine è importante ricordare che tali impostazioni non hanno alcuna influenza sui siti che già hanno memorizzato LSO sul nostro sistema.

All’interno della stessa animazione Flash è possibile accedere alla gestione dei Local Shared Object già presenti sul sistema. È sufficiente selezionare l’ultima scheda presente sulla destra. In alternativa è possibile utilizzare questo link diretto.

In questo pannello è possibile visualizzare i nomi dei siti che hanno depositato Shared Object ed è possibile eliminarli. Per ognuno è visualizzato lo spazio occupato ed è possibile stabilirne la massima capacità di memorizzazione.

Objection per Firefox

Gli strumenti messi a disposizione da Macromedia consentono una efficiente limitazione dello spazio di memorizzazione per i Local Shared Object ma non forniscono una interfaccia integrata nel browser simile a quella esistente per i normali cookie http.

Una utile estensione di nome Objection aggiunge tale funzionalità all’interno di Firefox integrandosi direttamente nel pannello delle opzioni.

Dopo l’installazione, nella sezione Privacy, sarà presente una nuova voce Oggetti locali condivisi. Da qui è possibile eliminare tutti gli oggetti con un solo click sull’apposito pulsante, è possibile conoscere la cartella radice in cui gli LSO vengono salvati ed eventualmente cambiarne la posizione. Infine è possibile accedere all’elenco completo degli Shared Object e rimuoverli singolarmente.

Oltre agli Shared Object depositati dai siti, Objection visualizza anche i file settings.sol salvati da Flash per contenere le impostazioni relative ai singoli siti visitati. Per questi oggetti speciali l’indicazione del sito di appartenenza è preceduto dal simbolo #. Cancellando tali file le impostazioni eventualmente personalizzate dall’utente verranno eliminate.

Links

Guida alle impostazioni di Flash Player
Macromedia Security White Paper

Informazioni sulla tecnologia PIE (Persistent Identification Element):
http://www.cafeid.com/art-pie.shtml
http://www.internetweek.com/showArticle.jhtml?articleID=160400749