Flashクッキー

(1/1)
最近多く使われるようになったFlash クッキーですが、普通のクッキーのようにユーザーが制御することはできません。果たして安全性に問題は無いのでしょうか。

Flashクッキーと普通のクッキーの違い

Flashロゴ
ネット上で、その人がどのようなページにアクセスしたかを掴むためにクッキー(Cookie)が利用されることがあります。
これを嫌がる利用者は、ブラウザの設定によって、クッキーを利用できなくしたり、消去することができます。
ところが最近、Flash の共有オブジェクト(SharedObject、Flash クッキー)をクッキーのように利用し、ユーザーの動態を掴もうとする動きが広まっています。Flash クッキーは、ユーザーが消去することができないので厄介です。

もう 1 つ厄介なことは、普通のクッキーは異なるドメインの間では共有できないというポリシーがあるのですが、Flash クッキーにはそれがありません。
したがって、Flash バナー広告に Flash クッキーが仕込まれている場合、その広告が表示されているのドメイン(サイト)をいつ訪問したかまで筒抜けになってしまうのです。
また、他の Flash クッキーの名前が分かれば、簡単にその値を取り出すことができてしまいます。

Flashクッキーのサンプル

実際に Flash クッキーを使ってアクセスカウンタを作ってみました。ページの再読込をするとカウンタが 1 つずつ増えます。(このプログラムはアクセス回数をカウントするだけですのご心配なく!)
Flashクッキーのサンプルです.
ブラウザの設定で、クッキーの受け入れを拒否したり、クッキーの削除を実行してみてください。
こうした行為に影響されずにカウントを続けていることが分かると思います。

Flashクッキーの仕組み

Flash クッキーの本当の名前は ShareObject クラスと言います。
名前の通り、Flash 同士の間でデータをやり取りするために用意された仕組みです。

ShareObject は、ブラウザではなく、Flash の管理領域にデータを保管します。このため、ブラウザのポリシーを変更したり削除操作を行っても、ShareObject には何の影響もありません。

ShareObject はドメイン名の影響を受けません。ShareObject の名前だけですので、その名前さえ分かれば、いつでもどこでも ShareObject の内容を取り出すことができてしまいます。

普通のクッキーは 4K バイト程度の容量しかありませんが、Flash クッキーは 100K バイトと 25 倍の容量があります。このため、さまざまな情報を記録していくことができます。
Flash 側で普通のクッキーをバックアップし、ユーザーがクッキーを削除しても影響を受けないようにすることもできます。

対策:Firefoxのアドオン

2011 年(平成 23 年)5 月に Adobe が公開した Flash Player 10.3 では、Web ブラウザの設定画面から Flash クッキーが削除できるようになりました。深刻な脆弱性も多数修正されているとのことですので、ぜひアップデートしてください。

参考サイト

(この項おわり)
header