במאמרים שלנו בנושא עוגיות פלאש וטביעות אצבע של הדפדפנים בדקנו כיצד חברות אינטרנט מסחריות, ובייחוד תחומי ניתוח ופרסום של צדדים שלישיים, משתמשים בשיטות מתגמשות ומתוחכמות יותר ויותר כדי להתחמק מהמודעות הציבורית לסכנות של עוגיות HTTP, כך שיוכלו להמשיך ולזהות באופן ייחודי. ולעקוב אחר התנועות שלנו ברחבי הרשת.


בעוד שעוגיות פלאש (כולל מה שמכונה עוגיות זומבים), והופכות יותר ויותר טביעות אצבע בדפדפן, הן השיטות הנפוצות ביותר לשימוש בהן, ישנם אחרים. במאמר זה נבחן כמה מאלה ונדון כיצד הם עלולים להיות מסוכלים.

אחסון ברשת HTML5

תכונה של HTML5 (התחליף המיוחל לפלאש) היא אחסון באינטרנט (הידוע גם בשם DOM (Document Object Model) אחסון). אפילו מצמרר וחזק יותר מאשר עוגיות, אחסון ברשת הוא דרך מקבילה לעוגיות לאחסון נתונים בדפדפן אינטרנט, אך שהוא הרבה יותר מתמיד, בעל יכולת אחסון גדולה בהרבה, ואשר בדרך כלל לא ניתן לעקוב אחריו, לקרוא או באופן סלקטיבי. הוסר מדפדפן האינטרנט שלך.

בניגוד לעוגיות HTTP רגילות המכילות נתונים של 4 kB, אחסון באינטרנט מאפשר 5MB לכל מקור ב- Chrome, Firefox ואופרה, ו- 10 MB ב- Internet Explorer. לאתרי אינטרנט יש שליטה הרבה יותר גדולה על אחסון אתרים ובניגוד לעוגיות, אחסון אתרים אינו פוג אוטומטית לאחר פרק זמן מסוים (כלומר הוא קבוע כברירת מחדל).

כאשר אשקן סולטני וצוות חוקרים ב- UC Berkeley ערכו מחקר על מעקב באינטרנט בשנת 2011, הם גילו כי מתוך 100 האתרים המובילים שנסקרו, 17 השתמשו באחסון אינטרנט, כולל twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com ו- cnn.com. רוב אלה התחברו לשירות אנליטיקס של צד שלישי כמו Meebo, KISSanalytics או Pollydaddy.

איך אני עוצר את זה?

אחסון ברשת קל למדי לכיבוי, אך אתרים רבים (למשל CNN) לא יעבדו כראוי אם תעשה זאת.

בפיירפוקס:

  • הפעל את Firefox והקלד about: config בסרגל הכתובות
  • בלחיצה על 'אני אהיה זהיר, אני מבטיח!'
  • גלול מטה עד שתגיע ל- dom.storage.enabled או העתק / הדבק / הדבק 'dom.storage.enabled' בסרגל החיפוש
  • לחץ פעמיים על 'dom.storage.enabled', והוא ישתנה מערך ברירת המחדל שלו 'true' ל- 'false'.

משתמשי Firefox יכולים גם לקבוע את התצורה של התוסף BetterPrivacy להסרת אחסון באינטרנט באופן אוטומטי על בסיס קבוע, או להשתמש בלחיצה&תוספת נקייה.

ב- Internet Explorer:

  • הפעל את Internet Explorer ופתח את תפריט הכלים
  • בחר 'אפשרויות אינטרנט'
  • לחץ על הכרטיסייה 'מתקדם'
  • גלול מטה עד שתגיע ל'אבטחה '
  • בטל את הסימון של התיבה 'אפשר אחסון DOM'
  • לחץ על 'אישור'

ב- Chrome:

משתמשי Chrome יכולים להשתמש בלחיצה&תוסף נקי או לחילופין תוסף Google NotScripts המגוון, אך זה דורש תצורה גבוהה.

בספארי ובאופרה:

דפדפנים אלו אכן משתמשים באחסון אינטרנט, אך ככל הידוע לנו אין דרך לכבות אותו.

שימו לב שהשימוש בכל סיומת דפדפן מגדיל את הסיכוי לייחד את טביעת האצבע של הדפדפן.

תגי HTTP

תגיות ET (או תגי ישויות, המכונים לעיתים 'עוגיות ללא cookie') הם 'חלק מ- HTTP, הפרוטוקול של רשת האינטרנט' שמטרתו לזהות משאב ספציפי בכתובת URL, ולעקוב אחר כל השינויים שנעשו בו..

השיטה בה משווים משאבים אלה מאפשרת להשתמש בהם כטביעות אצבעות, שכן השרת פשוט נותן לכל דפדפן ETAG ייחודי, וכשהוא מתחבר שוב הוא יכול לחפש את ETAG במאגר הנתונים שלו..

השימוש שהתגלה לראשונה ב- ETags 'בטבע' כמנגנון מעקב נעשה על ידי אשקן סולטני וצוותו, שגילו כי אתר הזרמת המדיה Hulu משתמש בשירות שמארח חברת ניתוח אתרים KISSmetrics כדי להיפטר (סגנון זומבי) HTTP ו- HTML5 עוגיות המשתמשות 'במטמון כדי לשקף ערכים, ובמיוחד ETags.'

הדו"ח מציין כי 'ETag מעקב ושיבה חוזרת הם בעייתיים במיוחד מכיוון שהטכניקה מייצרת ערכי מעקב ייחודיים גם כאשר הצרכן חוסם עוגיות HTTP, Flash ו- HTML5', 'ואפילו' במצב גלישה פרטי, ETags יכולים לעקוב אחר המשתמש במהלך הפעלת דפדפן. . '

אולי אפילו גרוע יותר, 'הבחינה ETAG שראינו הציבה קובץ cookie של המפלגה הראשונה ב- hulu.com. משמעות הדבר היא שאתרים אחרים המנויים לשירות kissmetrics.com עשויים לסנכרן את המזהים הללו בכל התחומים שלהם. '

איך אוכל לעצור אותם?

לרוע המזל מעקב אחר מטמון מסוג זה כמעט ולא ניתן להבחנה בו, לכן מניעה אמינה קשה מאוד. ניקוי המטמון בין כל אתר שאתה מבקר אמור לעבוד, כמו גם כיבוי המטמון לחלוטין. למרבה הצער שיטות אלה הן מפרכות, וישפיעו לרעה על חווית הגלישה שלך.

הסוכן הסודי המוסף של פיירפוקס מונע מעקב באמצעות ETags, אך ככל הנראה יגדיל את טביעת האצבע של הדפדפן שלך (או בגלל אופן פעולתו, אולי לא).

היסטוריה גונבת

עכשיו אנחנו מתחילים להיות ממש מפחידים. גניבת היסטוריה (הידועה גם בשם snooping history) מנצלת את אופן התכנון של הרשת ומאפשרת לאתר שאתה מבקר בו לגלות את היסטוריית הגלישה שלך בעבר..

השיטה הפשוטה ביותר, שידועה כבר עשור, מסתמכת על העובדה שקישורי רשת משנים צבע כשאתה לוחץ עליהם (באופן מסורתי מכחול לסגול). כשאתה מתחבר לאתר זה הוא יכול לבצע שאילתות בדפדפן שלך באמצעות סדרה של שאלות כן / לא עליהן יגיב הדפדפן שלך נאמנה, וכך לאפשר לתוקף לגלות אילו קישורים שינו את הצבע, ולכן לעקוב אחר היסטוריית הגלישה שלך..

למרות רתיעה מלהתמודד עם פגם ביטחוני זה מכיוון שהוא משפיע על אופן פעולתו של עולם העולמי, רוב הדפדפנים המודרניים מספקים כעת הגנה מפני היסטוריה בסיסית זו הגונבת התקפה, אך התקפות אחרות מתוחכמות יותר הנשענות על פריסות עמוד CSS ותכונות תמונה נותרו בשימוש.

שימוש בהיסטוריה בגניבה כדי לזהות אותך באופן ייחודי

אוקיי, כך אתר יכול לעקוב אחר היסטוריית הגלישה שלך באמצעות גניבת היסטוריה, אך הוא לא יכול היה לזהות מי אתה, נכון? שגוי. תוך שימוש בתהליך של טביעת אצבעות זהות, לפיו אתר תואם את דפי האינטרנט שבהם ביקרת בקבוצות ברשתות החברתיות, יש לו סיכוי גבוה לזהות אותך כיחיד ייחודי..

קחו בחשבון: כמעט כל הרשתות החברתיות (למשל פייסבוק) מאפשרות לכם להצטרף לקבוצות עניין, ורובנו מצטרפים לעשרות קבוצות אלה, שרבות מהן עשויות להיות ציבוריות. רשימת הקבוצות הציבוריות שאליהן מצטרפות מספיקה לרוב בכדי לתת לך טביעת אצבע אינדיבידואלית, שתוכל להתאים אותה לפרופיל הרשת החברתית שלך. אם אתה מבקר באופן קבוע באתרים שמתאימים לתחומי העניין של קבוצת הרשת החברתית שלך, זה עניין קל למדי להתאים את היסטוריית האינטרנט הגנובה שלך לפרופיל הרשת החברתית שלך..

כמו שאמרנו, מפחיד! כמו כן, למרבה הצער, אין הרבה מה לעשות בקשר לזה. * אפילו יותר מקוקי-על 'רגילים', תעשיית הרשת מחשיבה את ההיסטוריה שגנבה כלא אתית, אך הניסיונות לקבוע הנחיות תעשייתיות שהוטלו על עצמם מרצון, הגיעו עד כה לכלום.

* הערה: כפי שקראה הקורא אנני, מחיקת היסטוריית הגלישה והעוגיות שלך צריכה גם לאפס את צבעי הקישור. מה שימנע גניבת היסטוריה. כמובן, אלא אם כן תמחקו את היסטוריית הגלישה וכדומה לאחר כל עמוד בודד בו אתם מבקרים, טכניקה זו עדיין תוכל לקבוע הרבה אודות היסטוריית הגלישה שלכם..

סיכום

למעשה קיימת מלחמת נשק מתמשכת בין אינטרסים של פרסום מסחרי באינטרנט לבין האינטרנט הרגיל שמשתמש בציבור, ויש לומר כי האינטרסים המסחריים מנצחים. התקפות רבות הן כה מתוחכמות ועדינות (הדפסת אצבעות הדפדפן וההיסטוריה הבולטות ביותר) עד שמניעה אמינה היא כמעט בלתי אפשרית, ובהחלט דורשת מידה של מאמץ, אי נוחות וידע טכני כדי לגרום אפילו לדאגה ביותר לנו למשוך בכתפינו ולתת למעלה. אנו שונאים לומר זאת, אך אולי התשובה היחידה נעוצה בחקיקה, או לפחות קוד התנהגות רצוני מוכר בתעשייה אשר ירתיע אתרים מכובדים יותר להתמכר לסוג זה של התנהגות..

הדבר הטוב היחיד במצב הוא שלמרות שהם עוקבים אחריך, רוב השיטות אינן מזהות אותך באופן אינדיבידואלי (אפילו טביעת אצבעות ברשת החברתית, למרות שהיא אפקטיבית באופן מפחיד, אינה אמינה), ואם אתה מסווה את כתובת ה- IP שלך באמצעות VPN (או Tor) אז תעשה דרך ארוכה כדי לנתק את הזהות האמיתית שלך מהתנהגות האינטרנט שלך.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me