Что такое Supercookies, Zombie cookies и Evercookies, и представляют ли они угрозу для конфиденциальности?

Если у вас есть любопытные соседи, они могут посчитать ваш секретный рецепт самой большой проблемой конфиденциальности в отношении файлов cookie, но это было изменено благодаря Интернету. Хотя обычные файлы cookie браузера часто полезны и их легко удалить, существуют и другие варианты, которые предназначены для их использования. От двух из этих типов, супер-куки и зомби-куки (часто называемых «Evercookies»), может быть очень трудно избавиться. К счастью, это не осталось незамеченным, и браузеры развиваются, чтобы бороться с этими скрытыми методами отслеживания.

Суперпеченье

Этот термин может немного сбивать с толку, поскольку он используется для описания множества различных технологий, некоторые из которых на самом деле являются просто файлами cookie. Однако в целом это относится ко всему, что изменяет ваш профиль просмотра, чтобы предоставить вам уникальный идентификатор. Таким образом, они выполняют ту же функцию, что и файлы cookie, позволяя сайтам и рекламодателям отслеживать вас, но, в отличие от файлов cookie, их нельзя удалить.

Вы часто будете слышать термин «supercookie», используемый для обозначения заголовков уникальных идентификаторов (UIDH) и дубликатов в HTTP Strict Transport Security или HSTS, даже если исходный термин относился к файлам cookie. которые происходят из доменов верхнего уровня. Это означает, что файл cookie может быть установлен для домена, такого как «.com» или «.co.uk», что позволит любому веб-сайту с суффиксом видеть его.

Если Google.com устанавливает супер-cookie, этот cookie-файл будет виден любому другому веб-сайту с доменом «.com». Это очевидная проблема конфиденциальности, но поскольку они не являются традиционными файлами cookie, все современные браузеры по умолчанию ограничивают их использование. Поскольку никто больше не говорит об этом типе суперпеченья, вы, как правило, услышите больше о двух других.

Уникальный адрес идентификатора (UIDH)

Адрес уникального идентификатора вообще отсутствует на вашем компьютере - это происходит между вашим интернет-провайдером и серверами веб-сайта. Вот как:

Вы отправляете запрос на создание веб-сайта своему интернет-провайдеру.

Прежде чем ваш интернет-провайдер переадресует запрос на сервер, он добавляет строку уникального идентификатора в заголовок вашего запроса.

Эта строка позволяет веб-сайтам распознавать вас как отдельного пользователя при посещении, даже если вы удалили их файлы cookie. Как только они узнают, кто вы, они могут просто отправить те же файлы cookie обратно в ваш браузер.

Проще говоря, если Ваш интернет-провайдер использует инструмент отслеживания UIDH, он отправляет вашу личную подпись на каждый сайт, который вы посещаете (или кто заплатил за это вашему интернет-провайдеру).. Эта мера в основном полезна для увеличения доходов от рекламы, но она стоит того, что требует FCC. 1.35 миллиона долларов на Verizon за то, что не информирует об этом своих клиентов или дает им возможность отказаться.

Помимо Verizon, не так много данных о том, какие компании используют информацию UIDH, но реакция потребителей сделала эту стратегию в значительной степени непопулярной. Более того, он работает только с незашифрованными HTTP-соединениями, а поскольку большинство веб-сайтов по умолчанию используют HTTPS, и вы можете легко загружать расширения, такие как HTTPS Everywhere, этот супер-файл cookie на самом деле не имеет большого значения и, вероятно, широко не используется. Если вам нужна дополнительная защита, используйте VPN. Это гарантирует, что ваше приложение будет ретранслировано на веб-сайт без привязанного UIDH.

HTTPS строгая безопасность передачи (HSTS)

Это редкий тип супер-cookie, который не был специально идентифицирован на каком-либо конкретном сайте, но, по-видимому, использовался, потому что Apple объединила Safari против него, Отмечая подтвержденные случаи нападения.

HSTS на самом деле хорошая вещь. Это позволяет браузеру безопасно перенаправлять на HTTPS-версию сайта вместо небезопасной HTTP-версии. К сожалению, его также можно использовать для создания супер cookie по следующему рецепту:

Создайте множество поддоменов (например, «domain.com», «subdomain2.domain.com» и т. Д.).

Назначьте каждому посетителю вашей домашней страницы случайный номер.

Заставьте пользователей загружать все ваши поддомены, либо добавляя их в невидимых пикселях на странице, либо перенаправляя пользователя через каждый поддомен во время загрузки страницы.

Для некоторых поддоменов укажите браузеру пользователя использовать HSTS, чтобы переключиться на безопасную версию для некоторых. Для других оставьте домен небезопасным HTTP.

Если для поддомена включена политика HSTS, она будет считаться «1». Если он выключен, он считается «0». С помощью этой стратегии сайт может ввести случайный двоичный идентификатор пользователя в двоичном формате в настройках HSTS браузера.

Каждый раз, когда посетитель возвращается, сайт проверяет политику HSTS браузера пользователя, которая возвращает тот же двоичный номер, который был изначально сгенерирован, идентифицируя пользователя.

Это звучит сложно, но все сводится к тому, что веб-сайты могут использовать ваш браузер для создания и запоминания настроек безопасности для нескольких страниц, и при следующем посещении они смогут увидеть, кто вы, потому что ни у кого нет таких точных настроек настроек. .

Apple уже предложила решения этой проблемы, например, разрешить установку только настроек HSTS для одного или двух основных доменных имен на сайт и ограничить количество разрешенных к использованию ограниченных перенаправлений. Другие браузеры, скорее всего, будут следовать этим мерам безопасности (режим инкогнито в Firefox, похоже, помогает), но, поскольку подтвержденных случаев этого нет, для большинства из них это не является главным приоритетом. Вы можете взять дело в свои руки, просмотрев некоторые настройки и удалив политики HSTS вручную. , но это все.

Зомби-куки / Evercookies

Зомби-куки - это именно то, на что они похожи - куки-файлы, которые оживают после того, как вы думали, что они исчезли. Возможно, вы видели, что они называются «Evercookies», что, к сожалению, не является эквивалентом cookie для gobstopper.

«Evercookie» на самом деле API JavaScript, созданный для демонстрации различных способов какие файлы cookie могут быть получены при попытках удаления.

Файлы cookie зомби не удаляются, потому что они скрыты за пределами обычного хранилища файлов cookie. Локальное хранилище является основной целью (я использую Adobe Flash и Microsoft Silverlight, где это часто делается), и некоторое хранилище HTML5 также может быть проблемой. Живые файлы cookie могут быть в вашей истории веб-поиска или в цветовых кодах RGB, которые ваш браузер допускает в своем кеше. Все, что вам нужно сделать, это найти один из скрытых файлов cookie, и он может оживить другие.

Однако многие из этих дыр в безопасности исчезают. Flash и Silverlight не являются важной частью современного веб-дизайна, и многие браузеры не особенно уязвимы для других тайников Evercookie. Поскольку существует множество различных способов проникновения этих файлов cookie в вашу систему, нет единого способа защитить себя. Тем не менее, наличие хорошего набора расширений конфиденциальности и очистки привычек в вашем браузере никогда не является плохой идеей!

Подождите, мы в безопасности или нет?

Технология онлайн-отслеживания - это своего рода постоянная гонка на вершину, поэтому, если вас интересует конфиденциальность, вы, вероятно, привыкнете к мысли, что мы никогда не гарантируем 100% анонимность в Интернете.

Вам, вероятно, не стоит слишком беспокоиться о Superkids, поскольку в то же время их не видят очень часто, и их все чаще забанивают. С другой стороны, от зомби-куки / Evercookies трудно избавиться. Многие из его известных методов были закрыты, но он все еще может работать до тех пор, пока все уязвимости не будут устранены, и он всегда может предложить новые технологии.

Перейти к верхней кнопке