Apakah Supercookies, Zombie Cookies dan Evercookies dan adakah ia berbahaya?

Penjejakan sentiasa menjadi salah satu kebimbangan privasi terbesar bagi pengguna kuki , tetapi itu telah berubah berkat Internet. Walaupun kuki penyemak imbas biasa agak berguna dan mudah dibersihkan , terdapat variasi lain yang dibina untuk melekat dan menjejaki aktiviti penyemakan imbas pengguna. Dua daripada variasi ini ialah kuki super dan kuki zombi (biasanya dikenali sebagai "Evercookies"). Kedua-dua varian ini terkenal kerana ia menyebabkan banyak kesukaran bagi orang yang ingin mengeluarkannya. Nasib baik, mereka telah "menerima" perhatian yang sewajarnya daripada pakar keselamatan, dan pelayar web hari ini sentiasa membangun untuk memerangi teknik penjejakan licik yang rumit ini.

Supercookies

Istilah ini boleh menjadi agak mengelirukan kerana ia digunakan untuk menerangkan beberapa teknologi yang berbeza, sesetengah daripadanya sebenarnya adalah kuki. Secara umum, istilah ini merujuk kepada perkara yang mengatasi profil penyemakan imbas anda untuk memberi anda ID unik. Dengan cara ini, mereka menyokong fungsi yang sama seperti kuki, membenarkan tapak web dan pengiklan menjejaki anda, tetapi tidak seperti kuki, ia tidak boleh dipadamkan.

Anda akan sering mendengar istilah "supercookie" digunakan merujuk kepada Pengepala Pengecam Unik (UIDH) dan sebagai kelemahan dalam HTTP Strict Transport Security (HSTS), walaupun frasa asal merujuk kepada kuki yang berasal dari domain peringkat atas . Ini bermakna bahawa kuki boleh ditetapkan untuk nama domain seperti ".com" atau ".co.uk", membenarkan mana-mana tapak web dengan akhiran domain itu melihatnya.

Jika Google.com menetapkan kuki super, kuki itu akan kelihatan kepada mana-mana tapak ".com" yang lain. Ini jelas merupakan isu privasi, tetapi kerana ia adalah kuki biasa, kebanyakan penyemak imbas moden menyekatnya secara lalai. Oleh kerana tiada siapa yang bercakap banyak tentang jenis supercookie ini lagi, anda akan sering mendengar lebih banyak tentang dua yang lain (Zombie Cookies dan Evercookies).

Pengepala Pengecam Unik (UIDH)

Pengepala Pengecam Unik biasanya tidak terdapat pada komputer anda, ia muncul di antara ISP anda dan pelayan tapak web. Begini cara UIDH dicipta:

1. Anda menghantar permintaan untuk tapak web kepada ISP anda.
2. Sebelum ISP anda memajukan permintaan ke pelayan, ia menambahkan rentetan pengecam unik pada pengepala permintaan anda.
3. Rentetan pengecam unik ini membolehkan tapak web mengenal pasti anda sebagai pengguna yang sama setiap kali anda melawati, walaupun anda telah mengosongkan kuki mereka. Setelah tapak web mengetahui siapa anda, mereka hanya menetapkan kuki yang sama terus ke dalam penyemak imbas anda.

Ringkasnya, jika ISP anda menggunakan penjejakan UIDH, ia akan menghantar "tandatangan" peribadi anda ke setiap tapak web yang anda lawati. Ini amat berguna dalam mengoptimumkan hasil pengiklanan, tetapi cukup menjengkelkan bahawa FCC mendenda Verizon $1.35 juta kerana tidak memaklumkan pelanggan mereka tentang perkara itu atau tidak memberikannya. beri mereka pilihan untuk menarik diri.

Di luar Verizon, tidak terdapat banyak data yang syarikat menggunakan maklumat gaya UIDH, tetapi tindak balas pengguna telah menjadikannya strategi yang tidak popular. Walaupun ia hanya berfungsi pada sambungan HTTP yang tidak disulitkan. Selain itu, memandangkan kebanyakan tapak web hari ini menggunakan HTTPS secara lalai dan anda boleh memuat turun alat tambah seperti HTTPS Everywhere dengan mudah, kuki super ini sebenarnya bukan perkara besar lagi dan mungkin tidak akan digunakan secara meluas. Jika anda mahukan lapisan perlindungan tambahan, gunakan VPN . VPN memastikan bahawa permintaan anda akan dimajukan ke tapak web tanpa dilampirkan UIDH.

Keselamatan Pemindahan Ketat HTTPS (HSTS)

HSTS (HTTP Strict Transport Security) ialah dasar keselamatan yang diperlukan untuk melindungi tapak web selamat HTTPS daripada serangan peringkat rendah. HSTS memastikan bahawa semua sambungan ke tapak web disulitkan menggunakan protokol HTTPS dan tidak sekali-kali menggunakan protokol HTTP. Pada masa ini, Google menggunakan HSTS kepada 45 domain peringkat atas, termasuk nama domain yang berakhir dengan .google, .how dan .soy.

HSTS benar-benar penyelesaian yang baik. Ia membolehkan penyemak imbas anda mengubah hala dengan selamat ke versi HTTPS tapak web dan bukannya versi HTTP yang tidak selamat. Malangnya, ia juga boleh digunakan untuk mencipta kuki super dengan formula berikut:

1. Buat berbilang subdomain (seperti “domain.com,” “subdomain2.domain.com”...).
2. Berikan setiap pelawat ke halaman utama anda nombor rawak.
3. Paksa pengguna untuk memuatkan semua subdomain anda dengan menambahkannya pada piksel tersembunyi pada halaman atau ubah hala pengguna melalui setiap subdomain semasa halaman dimuatkan.
4. Untuk sesetengah subdomain, mereka memerlukan penyemak imbas pengguna menggunakan HSTS untuk bertukar kepada versi selamat. Bagi sesetengah orang lain, mereka meninggalkan domain sebagai HTTP tidak selamat.
5. Jika dasar HSTS subdomain didayakan, ia dikira sebagai “1”. Jika ia dimatikan, ia dikira sebagai "0". Menggunakan strategi ini, tapak web boleh merekodkan nombor ID rawak pengguna sebagai binari dalam tetapan HSTS penyemak imbas.
6. Setiap kali pelawat kembali, tapak web akan menyemak dasar HSTS pada penyemak imbas pengguna, HSTS akan mengembalikan nombor binari yang dijana awal yang sama yang mengenal pasti pengguna.

Bunyinya rumit, tetapi secara ringkasnya, tapak web boleh membuat penyemak imbas anda mencipta dan mengingati tetapan keselamatan untuk banyak halaman dan pada kali anda melawati, ia boleh memberitahu siapa anda melalui data. get.

Apple juga telah memperkenalkan penyelesaian kepada masalah ini, seperti hanya membenarkan tetapan HSTS ditetapkan untuk satu atau dua domain utama bagi setiap tapak dan mengehadkan bilangan ubah hala yang dibenarkan untuk digunakan oleh tapak. . Penyemak imbas lain juga berkemungkinan mengikuti langkah keselamatan ini (mod inkognito Firefox ialah contoh), tetapi kerana tiada pengesahan dibuat mengenai keberkesanan, ini tidak berlaku. keutamaan utama bagi kebanyakan penyemak imbas. Anda boleh menyelesaikan masalah itu sendiri dengan mempelajari lebih lanjut tentang beberapa cara untuk memasang dan mengalih keluar dasar HSTS secara manual.

Kuki zombi/Evercookies

Kuki zombi, juga dikenali sebagai Evercookie pada asasnya ialah API JavaScript yang dicipta untuk menggambarkan kesukaran yang anda akan hadapi dalam cubaan memadam kuki.

Kuki zombi tidak boleh dipadamkan kerana kuki itu tersembunyi di luar storan kuki biasa anda. Storan tempatan ialah sasaran utama kuki Zombie ( Adobe Flash dan Microsoft Silverlight sering menggunakan ini) dan sesetengah storan HTML5 juga boleh menjadi isu. Kuki zombi mungkin terdapat dalam sejarah penyemakan imbas anda atau dalam kod warna RGB yang dibenarkan oleh penyemak imbas anda untuk cache.

Walau bagaimanapun, banyak lubang keselamatan beransur-ansur hilang. Flash dan Silverlight bukanlah bahagian penting dalam reka bentuk web moden, dan banyak penyemak imbas kini tidak lagi terdedah kepada Evercookie. Memandangkan terdapat begitu banyak cara berbeza kuki ini boleh menggoncang dan "parasit" sistem anda, tidak ada cara untuk melindungi diri anda, tetapi rutin pembersihan penyemak imbas bukanlah idea yang baik.

Adakah kita selamat atau tidak?

Membangunkan teknologi penjejakan dalam talian adalah perlumbaan berterusan dalam dunia keselamatan hari ini, jadi jika privasi adalah sesuatu yang anda bimbangkan, anda mungkin harus membiasakan diri dengan fakta bahawa kami tidak boleh dijamin 100% selamat dalam persekitaran dalam talian.

Walau bagaimanapun, anda tidak perlu terlalu risau tentang supercookies kerana ia tidak terlalu biasa dan disekat dengan lebih dan lebih agresif. Kuki ini kekal aktif sehingga sebarang kelemahan ditampal dan sentiasa boleh dikemas kini dengan teknologi baharu.

Lihat lagi:

• Cara memadam kuki pada Chrome untuk setiap tapak web
• Kuki tidak merosakkan komputer anda?
• Bagaimana untuk memadam cache dan kuki pada Chrome, Firefox dan Coc Coc
• Arahan untuk memadam kuki dalam Windows PC