ما هي ملفات تعريف الارتباط Supercookies وZombie Cookies وEvercookies وهل هي ضارة؟

لقد كان التتبع دائمًا أحد أكبر المخاوف المتعلقة بالخصوصية لمستخدمي ملفات تعريف الارتباط ، ولكن هذا تغير بفضل الإنترنت. على الرغم من أن ملفات تعريف الارتباط العادية للمتصفح مفيدة جدًا وسهلة المسح ، إلا أن هناك أشكالًا أخرى تم تصميمها لتتبع أنشطة التصفح الخاصة بالمستخدمين. اثنان من هذه الاختلافات هما ملفات تعريف الارتباط الفائقة وملفات تعريف الارتباط الزومبي (المعروفة باسم "Evercookies"). هذان المتغيران مشهوران لأنهما يسببان الكثير من الصعوبات للأشخاص الذين يرغبون في إزالتهما. ولحسن الحظ، فقد "تلقت" الاهتمام المناسب من خبراء الأمن، وتتطور متصفحات الويب اليوم باستمرار لمكافحة تقنيات التتبع الخادعة المعقدة هذه.

ملفات تعريف الارتباط الفائقة

يمكن أن يكون هذا المصطلح مربكًا بعض الشيء لأنه يستخدم لوصف عدد من التقنيات المختلفة، بعضها في الواقع عبارة عن ملفات تعريف الارتباط. بشكل عام، يشير هذا المصطلح إلى الأشياء التي تتجاوز ملف تعريف التصفح الخاص بك لتمنحك معرفًا فريدًا. وبهذه الطريقة، فإنها تدعم نفس وظائف ملفات تعريف الارتباط، مما يسمح لمواقع الويب والمعلنين بتتبعك، ولكن على عكس ملفات تعريف الارتباط، لا يمكن حذفها.

ستسمع غالبًا مصطلح "supercookie" المستخدم للإشارة إلى رؤوس المعرفات الفريدة (UIDH) وكثغرة أمنية في HTTP Strict Transport Security (HSTS)، على الرغم من أن العبارة الأصلية تشير إلى ملفات تعريف الارتباط الناشئة من نطاق المستوى الأعلى . وهذا يعني أنه يمكن تعيين ملف تعريف الارتباط لاسم نطاق مثل ".com" أو ".co.uk"، مما يسمح لأي موقع ويب يحتوي على لاحقة النطاق هذه برؤيته.

إذا قام Google.com بتعيين ملف تعريف ارتباط فائق، فسيكون ملف تعريف الارتباط هذا مرئيًا لأي موقع ".com" آخر. من الواضح أن هذه مشكلة تتعلق بالخصوصية، ولكن نظرًا لأنه ملف تعريف ارتباط عادي، فإن معظم المتصفحات الحديثة تحظره افتراضيًا. نظرًا لأنه لم يعد أحد يتحدث كثيرًا عن هذا النوع من ملفات تعريف الارتباط الفائقة، فغالبًا ما ستسمع المزيد عن النوعين الآخرين (Zombie Cookies وEvercookies).

رأس المعرف الفريد (UIDH)

لا يوجد عادةً رأس المعرف الفريد على جهاز الكمبيوتر الخاص بك، بل يظهر بين موفر خدمة الإنترنت وخادم موقع الويب. إليك كيفية إنشاء UIDH:

1. يمكنك إرسال طلب لموقع ويب إلى مزود خدمة الإنترنت الخاص بك.
2. قبل أن يقوم مزود خدمة الإنترنت بإعادة توجيه الطلب إلى الخادم، فإنه يضيف سلسلة معرفات فريدة إلى رأس طلبك.
3. تسمح سلسلة المعرفات الفريدة هذه لمواقع الويب بالتعرف عليك باعتبارك نفس المستخدم في كل مرة تزورها، حتى لو قمت بمسح ملفات تعريف الارتباط الخاصة بها. بمجرد أن تعرف مواقع الويب من أنت، فإنها تقوم ببساطة بتعيين نفس ملف تعريف الارتباط مباشرة في متصفحك.

ببساطة، إذا كان مزود خدمة الإنترنت الخاص بك يستخدم تتبع UIDH، فسوف يرسل "توقيعك" الشخصي إلى كل موقع ويب تزوره. يعد هذا مفيدًا بشكل أساسي في تحسين إيرادات الإعلانات، ولكنه أمر مزعج بدرجة كافية حيث فرضت لجنة الاتصالات الفيدرالية (FCC) غرامة قدرها 1.35 مليون دولار على شركة Verizon لعدم إبلاغ عملائها عنها، أو عدم تقديمها، ومنحهم خيار إلغاء الاشتراك.

خارج شركة Verizon، لا يوجد الكثير من البيانات حيث تستخدم الشركات معلومات على غرار UIDH، ولكن رد فعل المستهلك العنيف جعلها استراتيجية لا تحظى بشعبية. حتى أنه يعمل فقط على اتصالات HTTP غير المشفرة. بالإضافة إلى ذلك، نظرًا لأن معظم مواقع الويب اليوم تستخدم HTTPS افتراضيًا ويمكنك بسهولة تنزيل الوظائف الإضافية مثل HTTPS Everywhere، فإن ملف تعريف الارتباط الفائق هذا لم يعد يمثل صفقة كبيرة بعد الآن وربما لن يتم استخدامه على نطاق واسع. إذا كنت تريد طبقات إضافية من الحماية، فاستخدم VPN . تضمن VPN إعادة توجيه طلبك إلى موقع الويب دون إرفاق UIDH.

HTTPS أمان النقل الصارم (HSTS)

HSTS (HTTP Strict Transport Security) هي سياسة أمنية مطلوبة لحماية مواقع الويب الآمنة عبر HTTPS من الهجمات منخفضة المستوى. يضمن HSTS تشفير جميع الاتصالات بموقع الويب باستخدام بروتوكول HTTPS ، وعدم استخدام بروتوكول HTTP مطلقًا. حاليًا، تطبق Google HSTS على 45 نطاقًا من المستوى الأعلى، بما في ذلك أسماء النطاقات التي تنتهي بـ .google، و.how، و.soy.

HSTS هو حقا حل جيد. فهو يسمح لمتصفحك بإعادة التوجيه بشكل آمن إلى إصدار HTTPS لموقع الويب بدلاً من إصدار HTTP غير الآمن. ولسوء الحظ، يمكن استخدامه أيضًا لإنشاء ملف تعريف الارتباط الفائق بالصيغة التالية:

1. أنشئ نطاقات فرعية متعددة (مثل "domain.com" و"subdomain2.domain.com"...).
2. قم بتعيين رقم عشوائي لكل زائر لصفحتك الرئيسية.
3. قم بإجبار المستخدمين على تحميل جميع النطاقات الفرعية الخاصة بك عن طريق إضافتها إلى وحدات البكسل المخفية على الصفحة، أو إعادة توجيه المستخدمين عبر كل نطاق فرعي أثناء تحميل الصفحة.
4. بالنسبة لبعض النطاقات الفرعية، فإنها تتطلب من متصفح المستخدم استخدام HSTS للتبديل إلى الإصدار الآمن. بالنسبة للبعض الآخر، يتركون النطاق باعتباره HTTP غير آمن.
5. إذا تم تمكين سياسة HSTS للنطاق الفرعي، فسيتم احتسابها بالرقم "1". إذا تم إيقافه، فسيتم احتسابه كـ "0". باستخدام هذه الإستراتيجية، يمكن لموقع الويب تسجيل رقم المعرف العشوائي للمستخدم كرقم ثنائي في إعدادات HSTS للمتصفح.
6. في كل مرة يعود فيها الزائر، سيقوم موقع الويب بالتحقق من سياسات HSTS على متصفح المستخدم، وسيقوم HSTS بإرجاع نفس الرقم الثنائي الأولي الذي تم إنشاؤه والذي يحدد هوية المستخدم.

قد يبدو الأمر معقدًا، ولكن باختصار، يمكن لموقع الويب أن يجعل متصفحك ينشئ ويتذكر إعدادات الأمان للعديد من الصفحات، وفي المرة التالية التي تزورها، يمكنه معرفة هويتك من خلال البيانات.

قدمت Apple أيضًا حلولاً لهذه المشكلة، مثل السماح فقط بتعيين إعدادات HSTS لنطاق واحد أو مجالين رئيسيين لكل موقع والحد من عدد عمليات إعادة التوجيه التي يُسمح للمواقع باستخدامها. من المحتمل أيضًا أن تتبع المتصفحات الأخرى هذه الإجراءات الأمنية (وضع التصفح المتخفي في Firefox مثال على ذلك)، ولكن نظرًا لعدم وجود تأكيد بشأن الفعالية، فإن هذه ليست الحالة ذات الأولوية القصوى لمعظم المتصفحات. يمكنك حل المشكلات بنفسك من خلال التعرف على المزيد حول بعض طرق تثبيت سياسات HSTS وإزالتها يدويًا.

ملفات تعريف الارتباط الزومبي/Evercookies

ملفات تعريف الارتباط Zombie، والمعروفة أيضًا باسم Evercookie، هي في الأساس واجهة برمجة تطبيقات JavaScript تم إنشاؤها لتوضيح الصعوبات التي ستواجهها عند محاولة حذف ملف تعريف الارتباط.

لا يمكن حذف ملفات تعريف الارتباط Zombie لأنها مخفية خارج مساحة تخزين ملفات تعريف الارتباط العادية. يعد التخزين المحلي هدفًا رئيسيًا لملفات تعريف الارتباط Zombie ( يستخدم Adobe Flash وMicrosoft Silverlight هذا كثيرًا) ويمكن أيضًا أن يمثل بعض تخزين HTML5 مشكلة. قد تكون ملفات تعريف الارتباط Zombie موجودة في سجل التصفح الخاص بك أو في رموز ألوان RGB التي يسمح متصفحك بتخزينها مؤقتًا.

ومع ذلك، فإن العديد من الثغرات الأمنية تختفي تدريجياً. لا يعد Flash وSilverlight جزءًا مهمًا من تصميم الويب الحديث، ولم تعد العديد من المتصفحات الآن عرضة لـ Evercookie. نظرًا لوجود العديد من الطرق المختلفة التي يمكن لملفات تعريف الارتباط هذه أن تزاحم نظامك و"تطفله عليه"، فلا توجد طريقة لحماية نفسك، ولكن روتين تنظيف المتصفح ليس فكرة جيدة أبدًا.

هل نحن آمنون أم لا؟

يعد تطوير تقنية التتبع عبر الإنترنت سباقًا مستمرًا في عالم الأمان اليوم، لذا إذا كانت الخصوصية أمرًا يثير اهتمامك بشكل خاص، فمن المحتمل أن تعتاد على حقيقة أنه لا يمكن ضمان أماننا بنسبة 100٪ في بيئة الإنترنت.

ومع ذلك، لا داعي للقلق كثيرًا بشأن ملفات تعريف الارتباط الفائقة لأنها ليست شائعة جدًا ويتم حظرها بشكل متزايد. تظل ملفات تعريف الارتباط هذه نشطة حتى يتم تصحيح أي ثغرات أمنية، ويمكن دائمًا تحديثها بتقنيات جديدة.

شاهد المزيد:

• كيفية حذف ملفات تعريف الارتباط على Chrome لكل موقع ويب
• الكوكيز لا تضر جهاز الكمبيوتر الخاص بك؟
• كيفية حذف ذاكرة التخزين المؤقت وملفات تعريف الارتباط على Chrome وFirefox وCoc Coc
• تعليمات لحذف ملفات تعريف الارتباط في جهاز كمبيوتر يعمل بنظام Windows