O que são Supercookies, Zombie Cookies e Evercookies e são prejudiciais?

O rastreamento sempre foi uma das maiores preocupações de privacidade para os usuários de cookies , mas isso mudou graças à Internet. Embora os cookies normais do navegador sejam bastante úteis e fáceis de limpar , existem outras variações criadas para fixar e rastrear as atividades de navegação dos usuários. Duas dessas variações são supercookies e cookies zumbis (comumente conhecidos como “Evercookies”). Essas duas variantes são famosas porque causam muitas dificuldades para quem deseja removê-las. Felizmente, eles “receberam” a atenção adequada de especialistas em segurança, e os navegadores da Web atuais estão em constante desenvolvimento para combater essas técnicas complexas e sorrateiras de rastreamento.

Superbiscoitos

Este termo pode ser um pouco confuso porque é usado para descrever uma série de tecnologias diferentes, algumas das quais são, na verdade, cookies. Em geral, este termo refere-se a coisas que substituem o seu perfil de navegação para fornecer um ID exclusivo. Desta forma, suportam as mesmas funções dos cookies, permitindo que websites e anunciantes o rastreiem, mas ao contrário dos cookies, não podem ser eliminados.

Você ouvirá frequentemente o termo “supercookie” usado em referência a Unique Identifier Headers (UIDH) e como uma vulnerabilidade no HTTP Strict Transport Security (HSTS), embora a frase original se refira a cookies originados de domínio de nível superior . Isto significa que um cookie pode ser definido para um nome de domínio como “.com” ou “.co.uk”, permitindo que qualquer site com esse sufixo de domínio o veja.

Se o Google.com definir um supercookie, esse cookie ficará visível para qualquer outro site “.com”. Isto é obviamente uma questão de privacidade, mas como é um cookie normal, a maioria dos navegadores modernos os bloqueia por padrão. Como ninguém mais fala muito sobre esse tipo de supercookie, muitas vezes você ouvirá mais sobre os outros dois (Zombie Cookies e Evercookies).

Cabeçalho de identificador exclusivo (UIDH)

Um cabeçalho de identificador exclusivo geralmente não está presente no seu computador, ele aparece entre o seu ISP e o servidor do site. Veja como o UIDH é criado:

1. Você envia uma solicitação de um site ao seu ISP.
2. Antes de seu ISP encaminhar a solicitação ao servidor, ele adiciona uma sequência de identificador exclusivo ao cabeçalho da sua solicitação.
3. Essa cadeia de identificação exclusiva permite que os sites identifiquem você como o mesmo usuário sempre que você os visita, mesmo que você tenha apagado os cookies. Depois que os sites souberem quem você é, eles simplesmente definirão o mesmo cookie diretamente no seu navegador.

Simplificando, se o seu ISP estiver usando o rastreamento UIDH, ele enviará sua “assinatura” pessoal para cada site que você visitar. Isso é útil principalmente para otimizar a receita de publicidade, mas é irritante o suficiente para que a FCC multe a Verizon em US$ 1,35 milhão por não informar seus clientes sobre isso, ou por não fornecê-lo, dando-lhes a opção de cancelar.

Fora da Verizon, não há muitos dados sobre empresas que usam informações no estilo UIDH, mas a reação dos consumidores tornou essa estratégia impopular. Mesmo só funciona em conexões HTTP não criptografadas. Além disso, como a maioria dos sites hoje usa HTTPS por padrão e você pode facilmente baixar complementos como HTTPS Everywhere, esse supercookie realmente não é mais um grande negócio e provavelmente não será amplamente utilizado. Se você quiser camadas extras de proteção, use uma VPN . A VPN garante que sua solicitação será encaminhada para o site sem UIDH anexado.

Segurança de transferência estrita HTTPS (HSTS)

HSTS (HTTP Strict Transport Security) é uma política de segurança necessária para proteger sites seguros HTTPS contra ataques de baixo nível. O HSTS garante que todas as conexões com um site sejam criptografadas usando o protocolo HTTPS e nunca usem o protocolo HTTP. Atualmente, o Google está aplicando HSTS a 45 domínios de nível superior, incluindo nomes de domínio que terminam em .google, .how e .soy.

HSTS é realmente uma boa solução. Ele permite que seu navegador redirecione com segurança para a versão HTTPS de um site, em vez da versão HTTP insegura. Infelizmente, também pode ser usado para criar um supercookie com a seguinte fórmula:

1. Crie vários subdomínios (como “domain.com,” “subdomain2.domain.com”...).
2. Atribua a cada visitante da sua página principal um número aleatório.
3. Force os usuários a carregar todos os seus subdomínios adicionando-os a pixels ocultos em uma página ou redirecione os usuários através de cada subdomínio enquanto a página carrega.
4. Para alguns subdomínios, eles exigem que o navegador do usuário use HSTS para mudar para a versão segura. Para alguns outros, eles deixam o domínio como HTTP inseguro.
5. Se a política HSTS do subdomínio estiver habilitada, ela será contada como “1”. Se estiver desligado, é contado como “0”. Usando essa estratégia, um site pode registrar o número de ID aleatório do usuário como binário nas configurações de HSTS do navegador.
6. Cada vez que um visitante retorna, o site verificará as políticas de HSTS no navegador do usuário, o HSTS retornará o mesmo número binário inicial gerado que identifica o usuário.

Parece complicado, mas resumindo, o site pode fazer com que seu navegador crie e lembre configurações de segurança para muitas páginas e na próxima vez que você visitar, ele poderá saber quem você é por meio de dados obtidos.

A Apple também introduziu soluções para esse problema, como permitir que apenas as configurações de HSTS sejam definidas para um ou dois domínios principais por site e limitar o número de redirecionamentos que os sites podem usar. Outros navegadores também provavelmente seguirão essas medidas de segurança (o modo de navegação anônima do Firefox é um exemplo), mas como nenhuma confirmação foi feita quanto à eficácia, este não é o caso de prioridade máxima para a maioria dos navegadores. Você pode resolver os problemas sozinho aprendendo mais sobre algumas maneiras de instalar e remover manualmente as políticas HSTS.

Biscoitos zumbis/Evercookies

Os cookies zumbis, também conhecidos como Evercookie, são essencialmente uma API JavaScript criada para ilustrar as dificuldades que você enfrentará ao tentar excluir um cookie.

Os cookies zumbis não podem ser excluídos porque estão ocultos fora do seu armazenamento normal de cookies. O armazenamento local é um dos principais alvos dos cookies Zombie ( o Adobe Flash e o Microsoft Silverlight usam muito isso) e algum armazenamento HTML5 também pode ser um problema. Os cookies zumbis podem até estar localizados no seu histórico de navegação ou nos códigos de cores RGB que o seu navegador permite armazenar em cache.

No entanto, muitas falhas de segurança estão desaparecendo gradualmente. Flash e Silverlight não são uma parte importante do web design moderno e muitos navegadores não são mais vulneráveis ​​ao Evercookie. Como existem tantas maneiras diferentes pelas quais esses cookies podem atrapalhar e “parasitar” seu sistema, não há como se proteger, mas uma rotina de limpeza do navegador nunca é uma boa ideia.

Estamos seguros ou não?

O desenvolvimento de tecnologia de rastreamento on-line é uma corrida constante no mundo da segurança atual; portanto, se a privacidade é algo que o preocupa particularmente, você provavelmente deveria se acostumar com o fato de que nunca poderemos ter a garantia de estarmos 100% seguros em um ambiente on-line.

No entanto, você não precisa se preocupar muito com os supercookies porque eles não são muito comuns e estão sendo bloqueados de forma cada vez mais agressiva. Estes cookies permanecem ativos até que quaisquer vulnerabilidades sejam corrigidas e podem sempre ser atualizados com novas tecnologias.

Ver mais:

• Como excluir cookies no Chrome para cada site
• Os cookies não danificam o seu computador?
• Como excluir cache e cookies no Chrome, Firefox e Coc Coc
• Instruções para excluir cookies no Windows PC