Süper Çerezler, Zombi Çerezleri ve Evercookies nedir ve zararlı mıdır?

İzleme, çerez kullanıcıları için her zaman en büyük gizlilik endişelerinden biri olmuştur , ancak bu durum İnternet sayesinde değişti. Normal tarayıcı çerezleri oldukça kullanışlı ve temizlenmesi kolay olsa da , kullanıcıların tarama etkinliklerini yapıştırmak ve izlemek için tasarlanmış başka çeşitler de vardır. Bu çeşitlerden ikisi süper çerezler ve zombi çerezlerdir (genellikle "Evercookies" olarak bilinir). Bu iki varyant, onları ortadan kaldırmak isteyenler için birçok zorluk yaratması nedeniyle ünlüdür. Neyse ki, güvenlik uzmanlarından gerekli ilgiyi "görmüşlerdir" ve günümüzün web tarayıcıları bu karmaşık sinsi izleme teknikleriyle mücadele etmek için sürekli olarak gelişmektedir.

Süper kurabiyeler

Bu terim biraz kafa karıştırıcı olabilir çünkü bazıları aslında çerez olan birçok farklı teknolojiyi tanımlamak için kullanılır. Genel olarak bu terim, size benzersiz bir kimlik vermek için tarama profilinizi geçersiz kılan şeyleri ifade eder. Bu şekilde çerezlerle aynı işlevleri destekleyerek web sitelerinin ve reklamverenlerin sizi izlemesine olanak tanırlar ancak çerezlerin aksine silinemezler.

Orijinal ifade üst düzey etki alanından kaynaklanan çerezlere atıfta bulunsa da, Benzersiz Tanımlayıcı Başlıklarına (UIDH) atıfta bulunarak ve HTTP Sıkı Aktarım Güvenliği'ndeki (HSTS) bir güvenlik açığı olarak kullanılan "süper çerez" teriminin sıklıkla duyacaksınız . Bu, ".com" veya ".co.uk" gibi bir alan adı için bir çerez ayarlanabileceği ve bu alan adı son ekine sahip herhangi bir web sitesinin onu görmesine izin verileceği anlamına gelir.

Google.com bir süper çerez ayarlarsa, bu çerez diğer tüm ".com" siteleri tarafından görülebilir. Bu açıkça bir gizlilik sorunudur, ancak normal bir çerez olduğundan çoğu modern tarayıcı bunları varsayılan olarak engeller. Artık kimse bu tür süper kurabiyelerden pek bahsetmediğinden, diğer ikisi (Zombie Cookies ve Evercookies) hakkında daha çok şey duyacaksınız.

Benzersiz Tanımlayıcı Başlığı (UIDH)

Benzersiz Tanımlayıcı Başlığı genellikle bilgisayarınızda bulunmaz, İSS'niz ile web sitesi sunucusu arasında görünür. UIDH'nin nasıl oluşturulduğu aşağıda açıklanmıştır:

1. İSS'nize bir web sitesi için istek gönderirsiniz.
2. İSS'niz isteği sunucuya iletmeden önce isteğinizin başlığına benzersiz bir tanımlayıcı dize ekler.
3. Bu benzersiz tanımlayıcı dize, web sitelerinin, çerezlerini temizlemiş olsanız bile, her ziyaretinizde sizi aynı kullanıcı olarak tanımlamasına olanak tanır. Web siteleri kim olduğunuzu öğrendikten sonra aynı çerezi doğrudan tarayıcınıza yerleştirirler.

Basitçe söylemek gerekirse, eğer İSS'niz UIDH takibini kullanıyorsa, kişisel "imzanızı" ziyaret ettiğiniz her web sitesine gönderecektir. Bu esas olarak reklam gelirini optimize etmede faydalıdır, ancak FCC'nin müşterilerini bu konuda bilgilendirmediği veya bu bilgiyi sağlamadığı için Verizon'a 1,35 milyon dolar para cezası vermesi yeterince can sıkıcıdır. Onlara vazgeçme seçeneği verin.

Verizon dışında şirketlerin UIDH tarzı bilgileri kullandığına dair çok fazla veri yok, ancak tüketicilerin tepkisi bunu popüler olmayan bir strateji haline getirdi. Hatta yalnızca şifrelenmemiş HTTP bağlantılarında çalışır. Ek olarak, günümüzde çoğu web sitesi varsayılan olarak HTTPS kullandığından ve HTTPS Everywhere gibi eklentileri kolayca indirebildiğinizden, bu süper çerez artık o kadar da önemli değil ve muhtemelen yaygın olarak kullanılmayacak. Ekstra koruma katmanları istiyorsanız VPN kullanın . VPN , isteğinizin UIDH eklenmeden web sitesine iletilmesini sağlar.

HTTPS Sıkı Aktarım Güvenliği (HSTS)

HSTS (HTTP Sıkı Aktarım Güvenliği), HTTPS güvenliğine sahip web sitelerini düşük seviyeli saldırılara karşı korumak için gereken bir güvenlik politikasıdır. HSTS, bir web sitesine yapılan tüm bağlantıların HTTPS protokolü kullanılarak şifrelenmesini ve asla HTTP protokolünün kullanılmamasını sağlar. Şu anda Google, HSTS'yi .google, .how ve .soy ile biten alan adları da dahil olmak üzere 45 üst düzey alana uyguluyor.

HSTS gerçekten iyi bir çözüm. Tarayıcınızın, bir web sitesinin güvenli olmayan HTTP sürümü yerine güvenli bir şekilde HTTPS sürümüne yönlendirilmesine olanak tanır. Maalesef aşağıdaki formülle bir süper çerez oluşturmak için de kullanılabilir:

1. Birden fazla alt alan adı oluşturun ("domain.com", "subdomain2.domain.com"... gibi).
2. Ana sayfanıza gelen her ziyaretçiye rastgele bir sayı atayın.
3. Kullanıcıları bir sayfadaki gizli piksellere ekleyerek tüm alt alan adlarınızı yüklemeye zorlayın veya sayfa yüklenirken kullanıcıları her bir alt alan adı üzerinden yönlendirin.
4. Bazı alt alan adlarında, güvenli sürüme geçmek için kullanıcının tarayıcısının HSTS kullanmasını gerektirir. Bazıları için etki alanını HTTP güvensiz olarak bırakırlar.
5. Alt alan adının HSTS politikası etkinse “1” olarak sayılır. Kapalı ise “0” olarak sayılır. Bu stratejiyi kullanarak bir web sitesi, kullanıcının rastgele kimlik numarasını tarayıcının HSTS ayarlarında ikili olarak kaydedebilir.
6. Bir ziyaretçi her geri döndüğünde, web sitesi kullanıcının tarayıcısındaki HSTS politikalarını kontrol edecek ve HSTS, kullanıcıyı tanımlayan aynı başlangıçta oluşturulan ikili sayıyı döndürecektir.

Kulağa karmaşık gelse de kısacası web sitesi, tarayıcınızın birçok sayfa için güvenlik ayarları oluşturmasını ve hatırlamasını sağlayabilir ve bir sonraki ziyaretinizde veriler aracılığıyla kim olduğunuzu anlayabilir.

Apple ayrıca bu soruna, site başına yalnızca bir veya iki ana alan için HSTS ayarlarının yapılmasına izin verilmesi ve sitelerin kullanmasına izin verilen yönlendirmelerin sayısının sınırlandırılması gibi çözümler de getirmiştir. Diğer tarayıcıların da bu güvenlik önlemlerini izlemesi muhtemeldir (Firefox'un gizli modu bir örnektir), ancak etkililik konusunda herhangi bir onay yapılmadığından, çoğu tarayıcı için durum böyle değildir. HSTS politikalarını manuel olarak yükleme ve kaldırmanın bazı yolları hakkında daha fazla bilgi edinerek sorunları kendiniz çözebilirsiniz.

Zombi kurabiyeleri/Evercookies

Evercookie olarak da bilinen Zombi çerezleri, aslında bir çerezi silmeye çalışırken karşılaşacağınız zorlukları göstermek için oluşturulmuş bir JavaScript API'sidir.

Zombi çerezleri normal çerez depolama alanınızın dışında gizlendiğinden silinemez. Yerel depolama, Zombi çerezlerinin ana hedefidir ( Adobe Flash ve Microsoft Silverlight bunu çok kullanır) ve bazı HTML5 depolama alanları da sorun olabilir. Zombi çerezleri , tarama geçmişinizde veya tarayıcınızın önbelleğe almasına izin verdiği RGB renk kodlarında bile bulunabilir .

Ancak birçok güvenlik açığı yavaş yavaş ortadan kalkıyor. Flash ve Silverlight, modern web tasarımının önemli bir parçası değildir ve birçok tarayıcı artık Evercookie'ye karşı savunmasız değildir. Bu çerezlerin sisteminize zarar vermesinin ve "parazit" etmesinin pek çok farklı yolu olduğundan, kendinizi korumanın bir yolu yoktur, ancak bir tarayıcı temizleme rutini asla iyi bir fikir değildir, kötü bir önlemdir.

Güvende miyiz, değil miyiz?

Çevrimiçi izleme teknolojisini geliştirmek, günümüzün güvenlik dünyasında sürekli bir yarıştır; dolayısıyla gizlilik özellikle endişe duyduğunuz bir konuysa, çevrimiçi ortamda %100 güvenli olacağımızın hiçbir zaman garanti edilemeyeceği gerçeğine muhtemelen alışmalısınız.

Ancak süper çerezler konusunda çok fazla endişelenmenize gerek yok çünkü bunlar çok yaygın değiller ve giderek daha agresif bir şekilde engelleniyorlar. Bu çerezler, herhangi bir güvenlik açığı giderilene kadar aktif kalır ve her zaman yeni teknolojilerle güncellenebilir.

Daha fazla gör:

• Her web sitesi için Chrome'daki çerezler nasıl silinir?
• Çerezler bilgisayarınıza zarar vermez mi?
• Chrome, Firefox ve Coc Coc'ta önbellek ve çerezler nasıl silinir?
• Windows PC'de çerezleri silme talimatları