前連子看過一篇名為「Adobe Flash 用戶: 請笑一個給世界看, 您上鏡頭了!」的文章,內文提到Adobe Flash Player原來在其資料夾中藏有一種副檔名為 .sol 的檔案,用作紀錄瀏覽歷史、作為FLASH遊戲的存檔、儲存網站的登錄/入資料或透過網站遙控電腦用家的麥克風和網路攝影機,其資料儲存量比cookie 大,可是所有瀏覽器預設都沒有移除.sol 檔案的功能,更不知道這些檔案的存在以及其所帶來的風險,可能會像cookie般有洩漏個人資料的風險,亦有機會被惡意網站利用,入侵個人電腦,甚至在用家不知道的情況下隨意操控用家的麥克風和網路攝影機,那用家的相像與聲音便很容易為其他陌生人所知。
要移除這種檔案,可進入Adobe的網站Settings Manager,透過線上設定把 .sol 檔案移除及限制網站取存 .sol 檔案,並調整網站對麥克風和網路攝影機的操控權限,但若電腦中的Adobe Flash Player已移除,則不能使用此法,因為那個Settings Manager也要透過Adobe Flash Player才能運作,移除Adobe Flash Player時並不會把 .sol 檔案一同移走。另一個方法是使用Firefox瀏覽器,並安裝 BetterPrivacy 套件以移除.sol 檔案,Linux的用家則可cd ~ ; rm -rf .macromedia/ ; ln -s /dev/null .macromedia以永久拒絕.sol 檔案。
在大多數情況下都對.sol 檔案的拒絕及移除都不會影響到使用者瀏覽含有Flash元件的網站,不過如果是玩FLASH遊戲時需要儲檔或網站使用 .sol 檔案作為儲存網站的登錄/入資料,那就可能會出現一些問題,所以應如何應用那些移除技術就要使用者自行決定,畢竟每個人使用電腦時對於方便性與安全性都有不同的取捨,一切還是要因應不同情況要作適當的處理。
補充評論:
Adobe 雖然它已提供了有關風險說明及線上工具讓使用者自行決定如何修改Flash Player的權限,但這個說明及線上工具卻一點也不起起眼,近乎「文不見經傳」,只有少部份對此技術相當熟悉的專業人士才知道這個真相,若非這些有專家寫文說明,一般人根本不會察覺出問題所在,任由.Sol檔的安全風留在電腦中。
其實Adobe的做法與銀行銷售有毒迷債的手法是非常相似的,都是只向客戶展示產品美好的一面,但對於產品的安全風險卻儘量不提,其對風險保持低調的程度幾乎使人誤以為產品是無此安全風險的,即使對類似產品熟識的人士,若非真的是深入研究的專家,也難以知悉問題所在,後果亦可能像有毒迷債般,無事時天下太平,有事時大家才驚覺問題的嚴重性。
暫時還未聽過任何人因此Adobe Flash Player的安全風險問題而做成損害,不過既然存在此問題,早晚也會有人利用,只是大家尚不知誰是第一個/批受害者吧了,我認為Adobe應向公眾道歉,並清楚交代產品的相關安全風險,同時提供方便易用易獲得的工具軟體,讓消費者自行決定Adobe Flash Player的取存權限,這才是一家負責任企業應有的做法。
原文: http://richardfx.blogspot.com/2009/09/adobe-flash-player.html