Wat zijn Supercookies, Zombiecookies en Evercookies en zijn ze schadelijk?

Tracking is altijd een van de grootste privacyproblemen voor cookiegebruikers geweest , maar dankzij internet is daar verandering in gekomen. Hoewel reguliere browsercookies behoorlijk nuttig en gemakkelijk te wissen zijn , zijn er andere varianten die zijn gebouwd om de browseractiviteiten van gebruikers vast te houden en te volgen. Twee van deze varianten zijn supercookies en zombiekoekjes (algemeen bekend als "Evercookies"). Deze twee varianten zijn beroemd omdat ze veel problemen veroorzaken voor mensen die ze willen verwijderen. Gelukkig hebben ze de nodige aandacht gekregen van beveiligingsexperts, en de hedendaagse webbrowsers ontwikkelen zich voortdurend om deze complexe stiekeme trackingtechnieken te bestrijden.

Superkoekjes

Deze term kan een beetje verwarrend zijn omdat hij wordt gebruikt om een ​​aantal verschillende technologieën te beschrijven, waarvan sommige feitelijk cookies zijn. Over het algemeen verwijst deze term naar dingen die uw browseprofiel overschrijven om u een unieke ID te geven. Op deze manier ondersteunen ze dezelfde functies als cookies, waardoor websites en adverteerders u kunnen volgen, maar in tegenstelling tot cookies kunnen ze niet worden verwijderd.

U zult de term ‘supercookie’ vaak horen gebruiken in verwijzing naar Unique Identifier Headers (UIDH) en als een kwetsbaarheid in HTTP Strict Transport Security (HSTS), hoewel de oorspronkelijke zin verwijst naar cookies afkomstig van het topniveaudomein . Dit betekent dat er een cookie kan worden geplaatst voor een domeinnaam zoals “.com” of “.co.uk”, waardoor elke website met dat domeinachtervoegsel deze kan zien.

Als Google.com een ​​supercookie instelt, is die cookie zichtbaar voor elke andere ".com"-site. Dit is uiteraard een privacykwestie, maar omdat het verder een gewone cookie is, blokkeren de meeste moderne browsers deze standaard. Omdat niemand meer veel over dit soort supercookies praat, hoor je vaak meer over de andere twee (Zombie Cookies en Evercookies).

Unieke identificatiekop (UIDH)

Een Unique Identifier Header is normaal gesproken niet aanwezig op uw computer, maar verschijnt tussen uw ISP en de websiteserver. Zo wordt UIDH gemaakt:

1. U stuurt een aanvraag voor een website naar uw ISP.
2. Voordat uw ISP het verzoek doorstuurt naar de server, voegt hij een unieke identificatiereeks toe aan de header van uw verzoek.
3. Dankzij deze unieke identificatiereeks kunnen websites u bij elk bezoek identificeren als dezelfde gebruiker, zelfs als u hun cookies hebt gewist. Zodra websites weten wie u bent, plaatsen ze eenvoudigweg dezelfde cookie rechtstreeks in uw browser.

Simpel gezegd: als uw ISP UIDH-tracking gebruikt, wordt uw persoonlijke ‘handtekening’ naar elke website die u bezoekt verzonden. Dit is vooral nuttig bij het optimaliseren van de advertentie-inkomsten, maar het is al vervelend genoeg dat de FCC Verizon een boete van 1,35 miljoen dollar heeft opgelegd omdat ze hun klanten er niet over hadden geïnformeerd of deze niet hadden verstrekt.

Buiten Verizon zijn er niet veel gegevens waarin bedrijven informatie in UIDH-stijl gebruiken, maar de reactie van de consument heeft het tot een impopulaire strategie gemaakt. Zelfs het werkt alleen op niet-gecodeerde HTTP-verbindingen. Bovendien, aangezien de meeste websites tegenwoordig standaard HTTPS gebruiken en je eenvoudig add-ons zoals HTTPS Everywhere kunt downloaden, is deze supercookie niet zo'n groot probleem meer en zal deze waarschijnlijk ook niet veel worden gebruikt. Als je extra beschermingslagen wilt, gebruik dan een VPN . VPN zorgt ervoor dat uw verzoek zonder UIDH wordt doorgestuurd naar de website.

HTTPS strikte overdrachtsbeveiliging (HSTS)

HSTS (HTTP Strict Transport Security) is een beveiligingsbeleid dat vereist is om HTTPS-beveiligde websites te beschermen tegen aanvallen op laag niveau. HSTS zorgt ervoor dat alle verbindingen met een website worden gecodeerd met behulp van het HTTPS-protocol en nooit het HTTP-protocol gebruiken. Momenteel past Google HSTS toe op 45 topniveaudomeinen, waaronder domeinnamen die eindigen op .google, .how en .soy.

HSTS is echt een goede oplossing. Hiermee kan uw browser veilig omleiden naar de HTTPS-versie van een website in plaats van naar de onveilige HTTP-versie. Helaas kan het ook worden gebruikt om een ​​supercookie te maken met de volgende formule:

1. Maak meerdere subdomeinen aan (zoals “domein.com”, “subdomein2.domein.com”...).
2. Wijs elke bezoeker van uw hoofdpagina een willekeurig nummer toe.
3. Dwing gebruikers om al uw subdomeinen te laden door ze toe te voegen aan verborgen pixels op een pagina, of stuur gebruikers door elk subdomein terwijl de pagina wordt geladen.
4. Voor sommige subdomeinen is het nodig dat de browser van de gebruiker HSTS gebruikt om over te schakelen naar de beveiligde versie. Voor sommige anderen verlaten ze het domein als HTTP-onveilig.
5. Als het HSTS-beleid van het subdomein is ingeschakeld, wordt dit geteld als '1'. Als deze uitstaat, wordt deze als “0” geteld. Met behulp van deze strategie kan een website het willekeurige ID-nummer van de gebruiker als binair registreren in de HSTS-instellingen van de browser.
6. Elke keer dat een bezoeker terugkeert, controleert de website het HSTS-beleid in de browser van de gebruiker. HSTS retourneert hetzelfde aanvankelijk gegenereerde binaire nummer dat de gebruiker identificeert.

Het klinkt ingewikkeld, maar kort gezegd kan de website ervoor zorgen dat uw browser voor veel pagina's beveiligingsinstellingen maakt en onthoudt, en de volgende keer dat u hem bezoekt, aan de hand van gegevens kan achterhalen wie u bent.

Apple heeft ook oplossingen voor dit probleem geïntroduceerd, zoals het toestaan ​​dat HSTS-instellingen alleen worden ingesteld voor één of twee hoofddomeinen per site en het beperken van het aantal omleidingen dat sites mogen gebruiken. Andere browsers zullen deze beveiligingsmaatregelen waarschijnlijk ook volgen (de incognitomodus van Firefox is een voorbeeld), maar aangezien er nog geen bevestiging is gegeven over de effectiviteit, heeft dit voor de meeste browsers niet de hoogste prioriteit. U kunt de problemen zelf oplossen door meer te leren over enkele manieren om HSTS-beleid handmatig te installeren en te verwijderen.

Zombiekoekjes/Evercookies

Zombie-cookies, ook bekend als Evercookie, zijn in wezen een JavaScript-API die is gemaakt om de moeilijkheden te illustreren die u tegenkomt bij een poging een cookie te verwijderen.

Zombie-cookies kunnen niet worden verwijderd omdat ze verborgen zijn buiten uw reguliere cookie-opslag. Lokale opslag is een belangrijk doelwit van Zombie-cookies ( Adobe Flash en Microsoft Silverlight gebruiken dit veel) en sommige HTML5- opslag kan ook een probleem zijn. Zombiecookies kunnen zich zelfs in uw browsegeschiedenis bevinden of in de RGB-kleurcodes die uw browser in het cachegeheugen kan opslaan.

Veel veiligheidslekken verdwijnen echter geleidelijk. Flash en Silverlight vormen geen belangrijk onderdeel van modern webdesign en veel browsers zijn nu niet langer kwetsbaar voor Evercookie. Omdat er zoveel verschillende manieren zijn waarop deze cookies uw systeem kunnen verdringen en ‘parasiteren’, is er geen manier om uzelf te beschermen, maar een browserschoonmaakroutine is nooit een goed idee.

Zijn we veilig of niet?

Het ontwikkelen van online trackingtechnologie is een constante race in de hedendaagse beveiligingswereld, dus als privacy iets is waar u zich in het bijzonder zorgen over maakt, moet u waarschijnlijk wennen aan het feit dat we nooit gegarandeerd 100% veilig zijn in een online omgeving.

Over supercookies hoeft u zich echter niet al te veel zorgen te maken, omdat deze niet al te vaak voorkomen en steeds agressiever worden geblokkeerd. Deze cookies blijven actief totdat eventuele kwetsbaarheden zijn verholpen en kunnen altijd worden bijgewerkt met nieuwe technologieën.

Bekijk meer:

• Hoe u cookies in Chrome voor elke website kunt verwijderen
• Cookies beschadigen uw computer niet?
• Hoe cache en cookies te verwijderen in Chrome, Firefox en Coc Coc
• Instructies voor het verwijderen van cookies op een Windows-pc