Раньше самой большой проблемой конфиденциальности, связанной с файлами cookie, было то, что любопытный сосед обнаружил ваш секретный рецепт, но благодаря Интернету ситуация изменилась. Хотя обычные файлы cookie браузера часто полезны и их легко удалить, существуют и другие варианты, которые созданы для того, чтобы оставаться рядом и следить за вами. От двух из этих типов — суперкуки и зомби-куки (часто называемых «вечными куками») — избавиться особенно сложно. К счастью, они не остались незамеченными, и браузеры развиваются, чтобы бороться с этими хитрыми методами отслеживания.
Суперкуки
Этот термин может немного сбить с толку, поскольку он используется для описания нескольких различных технологий, лишь некоторые из которых на самом деле являются файлами cookie. Однако в целом это относится ко всему, что изменяет ваш профиль просмотра, чтобы дать вам уникальный идентификатор. Таким образом, о
Contents
Суперкуки
функцию, что и файлы cookie, позволяя сайтам и рекламодателям отслеживать вас, но, в отличие от файлов cookie, их невозможно удалить.Вы чаще всего слышите термин «суперкуки», используемый в отношении заголовков уникальных идентификаторов (UIDH) и в качестве уязвимости в HTTP Strict Transport Security (HSTS), хотя исходный термин относится к файлы cookie, происходящие из доменов верхнего уровня . Это означает, что файл cookie может быть установлен для домена типа «.com» или «.co.uk», что позволит любому веб-сайту с этим суффиксом домена видеть его.
Если Google.com установит суперкуки, этот файл cookie будет виден любому другому веб-сайту «.com». Это явная проблема конфиденциальности, но, поскольку в остальном это обычные файлы cookie, практически все современные браузеры блокируют их по умолчанию. Поскольку об этом виде суперпеченья больше никто не говорит, вы обычно услышите больше о двух других.
Заголовок уникального идентификатора (UIDH)
Заголовок уникального идентификатора вообще не находится на вашем компьютере — он находится между вашим интернет-провайдером и серверами веб-сайта. Вот как:
- Вы отправляете запрос на создание веб-сайта своему интернет-провайдеру.
- Прежде чем ваш интернет-провайдер перенаправит запрос на сервер, он добавляет в заголовок вашего запроса строку уникального идентификатора.
- Эта строка позволяет сайтам идентифицировать вас как одного и того же пользователя при каждом посещении, даже если вы удалили их файлы cookie. Как только они узнают, кто вы, они смогут просто загрузить те же файлы cookie обратно в ваш браузер.
Проще говоря, если интернет-провайдер использует отслеживание UIDH, он отправляет вашу личную подпись на каждый посещаемый вами веб-сайт. (или те, кто заплатил за это интернет-провайдеру). В основном это полезно для оптимизации доходов от рекламы, но оно настолько агрессивно, что FCC оштрафовала Verizon на 1,35 миллиона долларов СШАза то, что она не проинформировала об этом своих клиентов или не предоставила им возможность отказаться.
Кроме Verizon, данных о том, какие компании используют информацию UIDH, немного, но негативная реакция потребителей сделала эту стратегию довольно непопулярной. Более того, он работае
Заголовок уникального идентификатора (UIDH)
скольку большинство веб-сайтов теперь используют HTTPS по умолчанию, и вы можете легко загружать расширения, такие как HTTPS Everywhere, этот суперкуки на самом деле больше не представляет собой большой проблемы и, вероятно, не используется широко. Если вам нужна дополнительная защита, используйте VPN. Это гарантирует, что ваш запрос будет перенаправлен на веб-сайт без присоединения вашего UIDH.Строгая безопасность передачи данных HTTPS (HSTS)
Это редкий тип суперкуки, который не был конкретно идентифицирован на каком-либо конкретном сайте, но, по всей видимости, он использовался, поскольку Apple исправила его для Safari, со ссылкой на подтвержденные случаи нападения .
HSTS на самом деле хорошая вещь. Это позволяет вашему браузеру безопасно перенаправляться на версию сайта HTTPS, а не на небезопасную версию HTTP. К сожалению, его также можно использовать для создания суперпеченья по следующему рецепту:
- Создайте множество субдоменов (например, «domain.com», «subdomain2.domain.com» и т. д.).
- Назначьте каждому посетителю вашей главной страницы случайное число.
- Заставьте пользователей загружать все ваши субдомены, добавив их в невидимые пиксели на странице или перенаправив пользователя через каждый субдомен при загрузке страницы.
- Для некоторого субдомена укажите браузеру пользователя использовать HSTS для переключения на безопасную версию. Для других оставьте домен как незащищенный HTTP.
- Если политика HSTS субдомена включена, она считается «1». Если он выключен, это считается «0». Используя эту стратегию, сайт может записать случайный идентификационный номер пользователя в двоичном виде в настройках HSTS браузера.
- Каждый раз, когда посетитель возвращается, сайт проверяет политику HSTS браузера пользователя, который возвращает то же двоичное число, которое было изначально сгенерировано, идентифицируя пользователя.
Звучит сложно, но суть в том, что веб-сайты могут заставить ваш браузер генерировать и запоминать настройки безопасности для нескольких страниц, и при следующем посещении он может узнать, кто вы, потому что ни у кого больше нет таких точных данных. комбинация настроек.
Apple уже предложила решения этой проблемы, например, разрешив настройку HSTS только для одного или двух основных доменных имен на сайт и ограничив количество связанных перенаправлений, которые сайтам разрешено использовать. Другие браузеры, вероятно, будут следовать этим мерам безопасности (режим инкогнито в Firefox, похоже, помогает), но поскольку подтвержденных случаев такого явления нет, для большинства это не является главным приоритетом. Вы можете взять дело в свои руки к покопавшись в некоторых настройках и вручную очистив политики HSTS , но это все.
Зомби-файлы cookie/Evercookies
Печенье-зомби — это именно то, на что оно похоже — печенье, которое возвращается к жизни после того, как вы думали, что оно исчезло. Возм
Строгая безопасность передачи данных HTTPS (HSTS)
, к сожалению, не являются эквивалентом вечных куки-файлов Вонки. «Evercookie» на самом деле является API JavaScript. создан, чтобы проиллюстрировать, сколькими различными способами файлы cookie могут обойти ваши попытки удаления.Файлы cookie-зомби не удаляются, поскольку они прячутся за пределами вашего обычного хранилища файлов cookie. Локальное хранилище является основной целью (Adobe Flash и Microsoft Silverlight часто используют его), и некоторые хранилища HTML5 также могут быть проблемой. Файлы cookie «живые мертвецы» могут даже находиться в вашей истории веб-поиска или в цветовых кодах RGB, которые ваш браузер допускает в свой кеш. Все, что нужно сделать веб-сайту, — это найти один из скрытых файлов cookie, и он сможет воскресить остальные.
Однако многие из этих дыр в безопасности исчезают. Flash и Silverlight не являются важной частью современного веб-дизайна, и многие браузеры больше не особенно уязвимы для других тайников Evercookie. Однако, поскольку существует множество различных способов проникновения этих файлов cookie в вашу систему, не существует единого способа защитить себя. Однако достойный набор расширений для обеспечения конфиденциальности и хорошие привычки очистки браузера никогда не будут плохой идеей!
Подождите, мы в безопасности или нет?
Технологии онлайн-слежения постоянно совершенствуются, поэтому, если вас беспокоит конфиденциальность, вам, вероятно, следует просто свыкнуться с мыслью, что мы никогда не гарантируем 100 % анонимность в Интернете.
Однако вам, вероятно, не стоит слишком беспокоиться о суперкуки, поскольку их нечасто можно увидеть в природе и их все чаще блокируют. С другой стороны, от файлов cookie-зомби/Evercookies сложнее избавиться. Многие из их наиболее известных направлений были закрыты, но они потенциально могут работать до тех пор, пока не будет исправлена каждая уязвимость, и они всегда могут придумать новые методы.
