最近多く使われるようになったFlashクッキーですが、普通のクッキーのようにユーザーが制御することはできません。果たして安全性に問題は無いのでしょうか。
Flashクッキーと普通のクッキーの違い
ネット上で、その人がどのようなページにアクセスしたかを掴むためにクッキー(Cookie)が利用されることがあります。
これを嫌がる利用者は、ブラウザの設定によって、クッキーを利用できなくしたり、消去することができます。
これを嫌がる利用者は、ブラウザの設定によって、クッキーを利用できなくしたり、消去することができます。
ところが最近、Flashの共有オブジェクト(SharedObject、Flashクッキー)をクッキーのように利用し、ユーザーの動態を掴もうとする動きが広まっています。Flashクッキーは、ユーザーが消去することができないので厄介です。
もう1つ厄介なことは、普通のクッキーは異なるドメインの間では共有できないというポリシーがあるのですが、Flashクッキーにはそれがありません。
したがって、Flashバナー広告にFlashクッキーが仕込まれている場合、その広告が表示されているのドメイン(サイト)をいつ訪問したかまで筒抜けになってしまうのです。
また、他のFlashクッキーの名前が分かれば、簡単にその値を取り出すことができてしまいます。
もう1つ厄介なことは、普通のクッキーは異なるドメインの間では共有できないというポリシーがあるのですが、Flashクッキーにはそれがありません。
したがって、Flashバナー広告にFlashクッキーが仕込まれている場合、その広告が表示されているのドメイン(サイト)をいつ訪問したかまで筒抜けになってしまうのです。
また、他のFlashクッキーの名前が分かれば、簡単にその値を取り出すことができてしまいます。
Flashクッキーのサンプル
実際にFlashクッキーを使ってアクセスカウンタを作ってみました。ページの再読込をするとカウンタが1つずつ増えます。(このプログラムはアクセス回数をカウントするだけですのご心配なく!)
ブラウザの設定で、クッキーの受け入れを拒否したり、クッキーの削除を実行してみてください。
こうした行為に影響されずにカウントを続けていることが分かると思います。
こうした行為に影響されずにカウントを続けていることが分かると思います。
Flashクッキーの仕組み
Flashクッキーの本当の名前は ShareObject クラスと言います。
名前の通り、Flash同士の間でデータをやり取りするために用意された仕組みです。
ShareObjectは、ブラウザではなく、Flashの管理領域にデータを保管します。このため、ブラウザのポリシーを変更したり削除操作を行っても、ShareObjectには何の影響もありません。
ShareObjectはドメイン名の影響を受けません。ShareObjectの名前だけですので、その名前さえ分かれば、いつでもどこでもShareObjectの内容を取り出すことができてしまいます。
普通のクッキーは4Kバイト程度の容量しかありませんが、Flashクッキーは100Kバイトと25倍の容量があります。このため、さまざまな情報を記録していくことができます。
Flash側で普通のクッキーをバックアップし、ユーザーがクッキーを削除しても影響を受けないようにすることもできます。
名前の通り、Flash同士の間でデータをやり取りするために用意された仕組みです。
ShareObjectは、ブラウザではなく、Flashの管理領域にデータを保管します。このため、ブラウザのポリシーを変更したり削除操作を行っても、ShareObjectには何の影響もありません。
ShareObjectはドメイン名の影響を受けません。ShareObjectの名前だけですので、その名前さえ分かれば、いつでもどこでもShareObjectの内容を取り出すことができてしまいます。
普通のクッキーは4Kバイト程度の容量しかありませんが、Flashクッキーは100Kバイトと25倍の容量があります。このため、さまざまな情報を記録していくことができます。
Flash側で普通のクッキーをバックアップし、ユーザーがクッキーを削除しても影響を受けないようにすることもできます。
対策:Firefoxのアドオン
2011年(平成23年)5月にAdobeが公開した Flash Player 10.3 では、Webブラウザの設定画面からFlashクッキーが削除できるようになりました。深刻な脆弱性も多数修正されているとのことですので、ぜひアップデートしてください。
参考サイト
- Flash Playerが10.3にバージョンアップ、「Flash cookie」の削除に対応:ITmedia, 2011年5月16日
- ユーザーが制御できない「秘密cookie」、半数強のサイトが利用:ITmedia
(この項おわり)