Dalam artikel kami mengenai kuki Flash dan sidik jari pelayar, kami melihat bagaimana syarikat-syarikat internet komersial, terutamanya analisis dan domain pengiklanan pihak ketiga, menggunakan kaedah yang semakin licik dan canggih untuk mengelakkan kesedaran awam mengenai bahaya kuki HTTP, sehingga mereka dapat terus mengenali secara unik dan menjejaki pergerakan kami di seluruh web.


Walaupun kuki Flash (termasuk kuki zombie yang dipanggil) dan, semakin banyaknya, cap jari penyemak imbas, adalah kaedah yang paling biasa digunakan untuk melakukan ini, ada yang lain. Dalam artikel ini kita akan melihat beberapa daripada ini, dan membincangkan bagaimana mereka boleh digagalkan.

Penyimpanan Web HTML5

Ciri HTML5 (penggantian yang paling digemari ke Flash) adalah storan Web (juga dikenali sebagai storan DOM (Model Objek Dokumen). Malah kreepier dan lebih berkuasa daripada kuki, storan web adalah cara yang serupa dengan kuki menyimpan data dalam pelayar web, tetapi yang lebih gigih, mempunyai kapasiti storan yang lebih besar, dan biasanya tidak boleh dipantau, membaca, atau secara selektif dikeluarkan daripada penyemak imbas web anda.

Tidak seperti kuki HTTP biasa yang mengandungi 4 kB data, storan web membolehkan 5MB setiap asal dalam Chrome, Firefox, dan Opera, dan 10 MB di Internet Explorer. Laman web mempunyai tahap kawalan yang lebih tinggi berbanding storan web dan, tidak seperti kuki, storan web tidak secara automatik tamat tempoh masa tertentu (iaitu secara tetap secara lalai).

Apabila Ashkan Soltani dan sekumpulan penyelidik di UC Berkeley menjalankan kajian penjejakan web pada tahun 2011, mereka mendapati bahawa dari 100 laman web yang ditinjau, 17 simpanan web yang digunakan, termasuk twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com, dan cnn.com. Kebanyakannya disambungkan ke perkhidmatan analisis pihak ketiga seperti Meebo, KISSanalytics, atau Pollydaddy.

Bagaimana saya menghentikannya??

Penyimpanan web agak mudah untuk dimatikan, tetapi banyak tapak (cth. CNN) tidak akan berfungsi dengan baik jika anda berbuat demikian.

Di Firefox:

  • Lancarkan Firefox dan taipkan tentang: config dalam bar alamat
  • Di Klik 'Saya akan berhati-hati, saya berjanji!'
  • Tatal ke bawah sehingga anda mencapai dom.storage.enabled atau salin / tampal 'dom.storage.enabled' ke dalam bar carian
  • Klik dua kali 'dom.storage.enabled', dan ia akan berubah dari nilai lalai 'benar' ke 'palsu'

Pengguna Firefox juga boleh mengkonfigurasi addon BetterPrivacy untuk menghapus storan web secara automatik secara tetap, atau gunakan Klik&Addon bersih.

Di Internet Explorer:

  • Lancarkan Internet Explorer dan buka Menu Alat
  • Pilih 'Pilihan Internet'
  • Klik tab 'Lanjutan'
  • Tatal ke bawah sehingga anda mencapai 'Keselamatan'
  • Nyahtandai kotak untuk 'Dayakan Penyimpanan DOM'
  • Klik 'Ok'

Dalam Chrome:

Pengguna Chrome boleh menggunakan Klik&Sambungan bersih atau, secara alternatif, sambungan Google NotScript yang serba boleh, tetapi ini memerlukan tahap konfigurasi yang tinggi.

Di Safari dan Opera:

Pelayar ini menggunakan storan web, tetapi sejauh kita sedar tidak ada cara untuk mematikannya.

Ambil perhatian bahawa penggunaan mana-mana pelanjutan penyemak imbas meningkatkan peluang membuat cap jari penyemak imbas unik.

HTTP ETags

ETags (atau tanda entiti, yang kadang-kadang disebut sebagai 'cookie kuki') adalah 'sebahagian daripada HTTP, protokol untuk World Wide Web' yang tujuannya untuk mengenal pasti sumber khusus di URL, dan menjejaki apa-apa perubahan yang dibuat kepadanya.

Kaedah yang membandingkan sumber-sumber ini membolehkan mereka digunakan sebagai cap jari, kerana pelayan hanya memberikan setiap pelayar ETag yang unik, dan apabila ia menyambung semula ia dapat melihat ETag dalam pangkalan datanya.

Penggunaan pertama ETags 'di alam liar' sebagai mekanisme penjejakan dibuat oleh Ashkan Soltani dan pasukannya, yang mendapati bahawa laman web streaming media Hulu menggunakan perkhidmatan yang dihoskan oleh syarikat analisis web KISSmetrics untuk memberi respon (gaya Zombie) HTTP dan HTML5 cookies menggunakan 'cache untuk mencerminkan nilai, khususnya ETags.'

Laporan itu menyatakan bahawa 'Pengesanan dan respektning ETag sangat bermasalah kerana teknik menghasilkan nilai penjejakan unik walaupun pengguna blok HTTP, Flash, dan HTML5,' dan 'walaupun dalam mod penyemakan imbas peribadi, ETags dapat menjejaki pengguna semasa sesi peramban '.

Mungkin lebih teruk lagi, 'reaksi ETag yang kami perhatikan menetapkan cookie pihak pertama di hulu.com. Ini bermakna bahawa tapak lain yang melanggan perkhidmatan kissmetrics.com boleh menyegerakkan pengenal ini merentasi domain mereka. '

Bagaimana saya boleh menghalang mereka?

Malangnya penjejakan cache semacam ini tidak dapat dikesan, pencegahan yang boleh dipercayai sangat sukar. Mengosongkan cache anda di antara setiap tapak web yang anda lawati harus berfungsi, kerana harus mematikan cache anda sama sekali. Malangnya kaedah ini sukar, dan akan memberi kesan buruk kepada pengalaman penyemakan imbas anda.

Ejen Rahsia Firefox add-on menghalang pengesanan oleh ETags, tetapi kemungkinan akan meningkatkan cap jari pelayar anda (atau kerana cara kerjanya, mungkin tidak).

Sejarah mencuri

Sekarang kita mula menjadi sangat menakutkan. Sejarah mencuri (juga dikenali sebagai sejarah pengintipan) mengeksploitasi cara di mana Web direka, membolehkan laman web yang anda lawati untuk mengetahui sejarah pelayaran anda yang lalu.

Kaedah yang paling mudah, yang telah diketahui selama satu dekad, bergantung kepada fakta bahawa pautan web berubah warna apabila anda mengklik pada mereka (secara tradisinya dari biru hingga ungu). Apabila anda menyambung ke tapak web, anda boleh menanyakan penyemak imbas anda melalui satu siri soalan ya / tidak untuk pelayar anda akan bertindak balas dengan setia, yang membolehkan penyerang untuk mengetahui pautan yang telah berubah warna, dan dengan itu untuk menjejaki sejarah penyemakan imbas anda.

Walaupun keengganan untuk menangani kecacatan keselamatan ini kerana ia mempengaruhi cara World Wide berfungsi, kebanyakan penyemak imbas moden kini memberikan perlindungan terhadap sejarah asas ini mencuri serangan, tetapi serangan lain yang lebih canggih yang bergantung pada susun atur laman CSS dan atribut imej tetap digunakan.

Menggunakan Sejarah mencuri untuk mengenali anda secara unik

Ok, jadi tapak web boleh menjejaki sejarah penyemakan imbas anda dengan menggunakan mencuri sejarah, tetapi ia tidak mungkin mengenal pasti siapa anda, bukan? Salah. Menggunakan proses cap jari identiti, di mana laman web sepadan dengan laman web yang telah anda lawati ke kumpulan rangkaian sosial, ia mempunyai peluang yang tinggi untuk mengenal pasti anda sebagai individu yang unik.

Pertimbangkan: Hampir semua rangkaian sosial (cth. Facebook) membenarkan anda menyertai kumpulan minat, dan sebahagian besar daripada kami menyertai berpuluh-puluh kumpulan ini, kebanyakannya mungkin awam. Senarai kumpulan awam yang anda sertai sering cukup untuk memberi anda cap jari individu, yang boleh dipadankan dengan profil rangkaian sosial anda. Jika anda kerap melawat tapak web yang berkaitan dengan kepentingan kumpulan rangkaian sosial anda, maka itu adalah perkara yang agak mudah untuk dipadankan dengan sejarah web anda yang curi ke profil rangkaian sosial anda.

Seperti yang kita katakan, menakutkan! Juga, malangnya, tidak banyak yang boleh anda lakukan. * Lebih banyak daripada supercookies 'biasa', industri web menganggap sejarah mencuri untuk tidak beretika, tetapi usaha untuk menubuhkan garis panduan industri yang dikenakan secara sukarela telah sampai kepada apa-apa.

* Nota: Sebagaimana pembaca Annie telah memantau, memadamkan sejarah penyemakan imbas anda dan cookies juga harus menetapkan semula warna link. Yang akan menghalang pencurian sejarah. Sudah tentu, melainkan jika anda memadamkan anda melayari sejarah dan sebagainya selepas setiap halaman yang anda lawati, teknik ini mungkin masih dapat menentukan banyak tentang sejarah penyemakan imbas anda.

Kesimpulannya

Terdapat senjata perang yang berkesan antara kepentingan pengiklanan internet komersil dan internet biasa menggunakan orang awam, dan ia harus dikatakan bahawa minat komersial menang. Ramai serangan kini begitu canggih dan halus (percetakan jari penyemak imbas yang paling ketara dan mencuri sejarah) bahawa pencegahan yang boleh dipercayai adalah hampir mustahil, dan tentunya mengambil sedikit usaha, kesulitan dan pengetahuan teknikal untuk membuat walaupun yang paling peduli daripada kami mengangkat bahu kami dan memberi up. Kami tidak suka mengatakannya, tetapi mungkin satu-satunya jawapannya terletak pada undang-undang, atau sekurang-kurangnya kod kelakuan sukarela yang diakui industri yang teguh yang akan menghalang laman web yang lebih dihormati daripada terlibat dalam tingkah laku semacam ini.

Satu perkara yang baik tentang situasi ini ialah walaupun mereka menjejaki anda, kebanyakan kaedah tidak mengenal pasti anda secara individu (walaupun jari-jari rangkaian sosial, sementara sangat berkesan, tidak boleh dipercayai), dan jika anda menutup alamat IP anda dengan VPN (atau Tor) maka anda akan pergi jauh untuk menanggalkan identiti sebenar anda dari tingkah laku web anda yang dilacak.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me