Ce sunt supercooki-urile, cookie-urile zombie și Evercooki-urile și sunt dăunătoare?

Urmărirea a fost întotdeauna una dintre cele mai mari preocupări de confidențialitate pentru utilizatorii de cookie-uri , dar asta s-a schimbat datorită internetului. În timp ce cookie-urile obișnuite ale browserului sunt destul de utile și ușor de șters , există și alte variante care sunt create pentru a păstra și urmări activitățile de navigare ale utilizatorilor. Două dintre aceste variații sunt supercooki-urile și cookie-urile zombie (cunoscute în mod obișnuit ca „Evercookies”). Aceste două variante sunt renumite pentru că provoacă o mulțime de dificultăți persoanelor care doresc să le elimine. Din fericire, aceștia au „primit” atenția corespunzătoare din partea experților în securitate, iar browserele web de astăzi se dezvoltă constant pentru a combate aceste tehnici complexe de urmărire ascunsă.

Supercookie-uri

Acest termen poate fi puțin confuz, deoarece este folosit pentru a descrie o serie de tehnologii diferite, dintre care unele sunt de fapt cookie-uri. În general, acest termen se referă la lucruri care suprascriu profilul dvs. de navigare pentru a vă oferi un ID unic. În acest fel, acceptă aceleași funcții ca și cookie-urile, permițând site-urilor web și agenților de publicitate să vă urmărească, dar spre deosebire de cookie-uri, acestea nu pot fi șterse.

Veți auzi adesea termenul „supercookie” folosit cu referire la anteturile de identificare unică (UIDH) și ca o vulnerabilitate în HTTP Strict Transport Security (HSTS), deși expresia originală se referă la cookie-uri care provin din domeniul de nivel superior . Aceasta înseamnă că un cookie poate fi setat pentru un nume de domeniu, cum ar fi „.com” sau „.co.uk”, permițând oricărui site web cu acel sufix de domeniu să îl vadă.

Dacă Google.com setează un supercookie, acel cookie va fi vizibil pentru orice alt site „.com”. Aceasta este, evident, o problemă de confidențialitate, dar pentru că altfel este un cookie obișnuit, majoritatea browserelor moderne le blochează implicit. Pentru că nimeni nu mai vorbește prea mult despre acest tip de supercookie, veți auzi adesea mai multe despre celelalte două (Zombie Cookies și Evercookies).

Antet de identificare unică (UIDH)

Un antet de identificare unic nu este de obicei prezent pe computerul dvs., acesta apare între ISP-ul dvs. și serverul site-ului web. Iată cum este creat UIDH:

1. Trimiteți o solicitare pentru un site web către ISP-ul dumneavoastră.
2. Înainte ca ISP-ul dvs. să înainteze cererea către server, acesta adaugă un șir de identificare unic la antetul solicitării dvs.
3. Acest șir unic de identificare permite site-urilor web să vă identifice ca fiind același utilizator de fiecare dată când vizitați, chiar dacă le-ați șters cookie-urile. Odată ce site-urile web știu cine ești, pur și simplu setează același cookie direct în browserul tău.

Mai simplu spus, dacă ISP-ul tău folosește urmărirea UIDH, acesta va trimite „semnătura” personală fiecărui site web pe care îl vizitezi. Acest lucru este util în principal în optimizarea veniturilor din publicitate, dar este destul de enervant că FCC a amendat Verizon cu 1,35 milioane USD pentru că nu și-a informat clienții despre asta sau pentru că nu le-a furnizat. da-le opțiunea de a renunța.

În afara Verizon, nu există multe date în care companiile folosesc informații în stilul UIDH, dar reacția consumatorilor a făcut din aceasta o strategie nepopulară. Chiar și funcționează doar pe conexiuni HTTP necriptate. În plus, deoarece majoritatea site-urilor web de astăzi folosesc HTTPS în mod implicit și puteți descărca cu ușurință suplimente precum HTTPS Everywhere, acest supercookie nu mai este atât de mare și probabil că nu va fi utilizat pe scară largă. Dacă doriți niveluri suplimentare de protecție, utilizați un VPN . VPN asigură că solicitarea dvs. va fi transmisă pe site-ul web fără UIDH atașat.

HTTPS Strict Transfer Security (HSTS)

HSTS (HTTP Strict Transport Security) este o politică de securitate necesară pentru a proteja site-urile web securizate HTTPS împotriva atacurilor de nivel scăzut. HSTS se asigură că toate conexiunile la un site web sunt criptate folosind protocolul HTTPS și nu utilizează niciodată protocolul HTTP. În prezent, Google aplică HSTS la 45 de domenii de nivel superior, inclusiv nume de domenii care se termină în .google, .how și .soy.

HSTS este cu adevărat o soluție bună. Acesta permite browserului dvs. să redirecționeze în siguranță către versiunea HTTPS a unui site web în loc de versiunea HTTP nesigură. Din păcate, poate fi folosit și pentru a crea un supercookie cu următoarea formulă:

1. Creați mai multe subdomenii (cum ar fi „domain.com”, „subdomain2.domain.com”...).
2. Atribuiți fiecărui vizitator paginii dvs. principale un număr aleatoriu.
3. Forțați utilizatorii să încarce toate subdomeniile dvs. adăugându-le la pixeli ascunși dintr-o pagină sau redirecționați utilizatorii prin fiecare subdomeniu în timp ce pagina se încarcă.
4. Pentru unele subdomenii, acestea necesită ca browserul utilizatorului să folosească HSTS pentru a trece la versiunea securizată. Pentru alții, părăsesc domeniul ca HTTP nesecurizat.
5. Dacă politica HSTS a subdomeniului este activată, aceasta este considerată „1”. Dacă este oprit, este numărat ca „0”. Folosind această strategie, un site web poate înregistra numărul ID aleator al utilizatorului ca binar în setările HSTS ale browserului.
6. De fiecare dată când un vizitator se întoarce, site-ul web va verifica politicile HSTS în browserul utilizatorului, HSTS va returna același număr binar generat inițial care identifică utilizatorul.

Sună complicat, dar pe scurt, site-ul web poate face browserul dvs. să creeze și să-și amintească setări de securitate pentru multe pagini, iar data viitoare când vizitați, vă poate spune cine sunteți prin intermediul datelor.

Apple a introdus, de asemenea, soluții pentru această problemă, cum ar fi să permită setarea doar setărilor HSTS pentru unul sau două domenii principale pe site și limitarea numărului de redirecționări pe care site-urile au voie să le folosească. De asemenea, este posibil ca și alte browsere să urmeze aceste măsuri de securitate (modul incognito al Firefox este un exemplu), dar întrucât nu a fost făcută nicio confirmare cu privire la eficacitate, acesta nu este cazul prioritar pentru majoritatea browserelor. Puteți rezolva singur problemele aflând mai multe despre unele dintre modalitățile de a instala și elimina manual politicile HSTS.

Cookie-uri zombie/Evercookies

Cookie-urile zombie, cunoscute și sub numele de Evercookie, sunt în esență un API JavaScript creat pentru a ilustra dificultățile cu care vă veți întâmpina în încercarea de a șterge un cookie.

Cookie-urile zombie nu pot fi șterse deoarece sunt ascunse în afara spațiului de stocare obișnuit al cookie-urilor. Stocarea locală este o țintă majoră a cookie-urilor Zombie ( Adobe Flash și Microsoft Silverlight folosesc asta foarte mult) și unele stocări HTML5 pot fi, de asemenea, o problemă. Cookie-urile zombie pot fi chiar localizate în istoricul dvs. de navigare sau în codurile de culoare RGB pe care browserul dvs. le permite să le memoreze.

Cu toate acestea, multe găuri de securitate dispar treptat. Flash și Silverlight nu sunt o parte importantă a designului web modern și multe browsere nu mai sunt acum vulnerabile la Evercookie. Deoarece există atât de multe moduri diferite în care aceste cookie-uri vă pot zgudui și „parazita” sistemul, nu există nicio modalitate de a vă proteja, dar o rutină de curățare a browserului nu este niciodată o idee bună.

Suntem în siguranță sau nu?

Dezvoltarea tehnologiei de urmărire online este o cursă constantă în lumea securității de astăzi, așa că dacă confidențialitatea este ceva care vă preocupă în mod deosebit, probabil că ar trebui să vă obișnuiți cu faptul că nu ne putem garanta niciodată că suntem 100% siguri într-un mediu online.

Cu toate acestea, nu trebuie să vă faceți griji prea mult în privința supercookie-urilor, deoarece acestea nu sunt prea frecvente și sunt blocate din ce în ce mai agresiv. Aceste cookie-uri rămân active până când sunt corectate eventualele vulnerabilități și pot fi mereu actualizate cu noile tehnologii.

Vezi mai mult:

• Cum să ștergeți cookie-urile de pe Chrome pentru fiecare site web
• Cookie-urile nu vă deteriorează computerul?
• Cum să ștergeți memoria cache și cookie-urile pe Chrome, Firefox și Coc Coc
• Instrucțiuni pentru ștergerea cookie-urilor din computerul Windows