Straipsniuose apie „Flash“ slapukus ir naršyklės pirštų atspaudus mes pažvelgėme į tai, kaip komercinės interneto įmonės, ypač trečiųjų šalių analizės ir reklamos domenai, naudoja vis slaptesnius ir sudėtingesnius metodus, kad išvengtų visuomenės supratimo apie HTTP slapukų pavojų, kad jos galėtų ir toliau unikaliai identifikuoti ir stebėkite mūsų judėjimą visame žiniatinklyje.

Nors „Flash“ slapukai (įskaitant vadinamuosius zombių slapukus) ir vis dažniau naršyklės pirštų atspaudų imtuvai yra dažniausiai naudojami metodai, naudojami ir kiti. Šiame straipsnyje apžvelgsime kai kuriuos iš jų ir aptarsime, kaip jie gali būti pašalinti.

HTML5 žiniatinklio saugykla

HTML5 (labai įkyrus „Flash“ pakeitimo) bruožas yra internetinė saugykla (dar žinoma kaip DOM („Document Object Model“) saugykla). Net šliaužiančioji ir daug galingesnė nei slapukai, internetinė saugykla yra būdas, analogiškas slapukams duomenų saugojimui žiniatinklio naršyklėje, tačiau yra daug patvaresnis, pasižymi daug didesne saugojimo talpa ir paprastai negali būti stebimas, skaitomas ar pasirenkamas. pašalinta iš interneto naršyklės.

Skirtingai nuo įprastų HTTP slapukų, kuriuose yra 4 kB duomenų, internetinė saugykla leidžia 5 MB kiekvienoje vietoje „Chrome“, „Firefox“ ir „Opera“ ir 10 MB „Internet Explorer“. Tinklalapiai turi žymiai didesnį internetinės saugyklos valdymą ir, skirtingai nei slapukai, internetinė saugykla savaime nesibaigia po tam tikro laiko (t. Y. Pagal nutylėjimą ji yra nuolatinė)..

Kai 2011 m. Ashkanas Soltani ir „UC Berkeley“ tyrėjų grupė atliko interneto stebėjimo tyrimą, jie nustatė, kad iš 100 populiariausių apklaustų svetainių 17 naudojo internetinę saugyklą, įskaitant twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com ir cnn.com. Daugelis jų buvo prijungti prie trečiųjų šalių analizės paslaugų, tokių kaip „Meebo“, „KISSanalytics“ ar „Pollydaddy“.


Kaip man tai sustabdyti?

Žiniatinklio saugyklą gana lengva išjungti, tačiau daugelis svetainių (pvz., CNN) neveiks tinkamai, jei tai padarysite.

„Firefox“:

  • Paleiskite „Firefox“ ir adreso juostoje įveskite apie: config
  • Spustelėkite „Aš būsiu atsargus, pažadu!“
  • Slinkite žemyn, kol pasieksite dom.storage.enabled, arba nukopijuokite / įklijuokite „dom.storage.enabled“ į paieškos juostą
  • Dukart spustelėkite „dom.storage.enabled“, ir ji pasikeis iš numatytosios vertės „true“ į „false“

„Firefox“ vartotojai taip pat gali sukonfigūruoti „BetterPrivacy“ priedą, kad reguliariai automatiškai pašalintų interneto saugyklą, arba naudoti „Spustelėkite“&Švarus priedas.

„Internet Explorer“:

  • Paleiskite „Internet Explorer“ ir atidarykite „Tools“ meniu
  • Pasirinkite „Interneto parinktys“
  • Spustelėkite skirtuką „Advanced“
  • Slinkite žemyn, kol pasieksite „Sauga“
  • Panaikinkite laukelio „Įgalinti DOM saugyklą“ žymėjimą
  • Spustelėkite „Gerai“

„Chrome“:

„Chrome“ vartotojai gali naudoti paspaudimą&Švarus plėtinys arba, kaip alternatyva, universalus „Google NotScripts“ plėtinys, tačiau tam reikia aukšto konfigūravimo laipsnio.

„Safari“ ir „Opera“:

Šios naršyklės naudoja internetinę saugyklą, tačiau, kiek mes suprantame, nėra galimybės ją išjungti.

Atminkite, kad naudojant bet kurį naršyklės plėtinį padidėja galimybė naršyklės pirštų atspaudus padaryti unikalius.

HTTP etiketės

„ETags“ (arba subjektų žymės, kartais vadinamos „sausainiais be slapukų“) yra „HTTP, visuotinio žiniatinklio protokolo dalis“, kurio tikslas yra identifikuoti konkretų šaltinį URL ir sekti visus jame padarytus pakeitimus..

Šių išteklių palyginimo būdas leidžia juos naudoti kaip pirštų atspaudus, nes serveris kiekvienai naršyklei tiesiog suteikia unikalų ETag, o vėl prisijungdamas jis gali ieškoti ETag savo duomenų bazėje..

Pirmą kartą naudodamas stebėjimo mechanizmą „laukinėje aplinkoje“ ETags naudojo Ashkanas Soltani ir jo komanda, kurie nustatė, kad žiniasklaidos srautams pritaikyta svetainė „Hulu“ naudoja interneto analizės kompanijos „KISSmetrics“ teikiamą paslaugą, kad atnaujintų (zombių stiliaus) HTTP ir HTML5. slapukai, naudojant „talpyklą, kad atspindėtų vertes, ypač„ ETags “.

Ataskaitoje pažymima, kad „ETag stebėjimas ir atnaujinimas yra ypač problemiškas, nes ši technika sukuria unikalias stebėjimo vertes net tada, kai vartotojas blokuoja HTTP, Flash ir HTML5 slapukus“ ir „net privataus naršymo režime,„ ETags “gali sekti vartotoją naršyklės sesijos metu . '

Gal dar blogiau, „stebimas ETAG pasirodymas nustatė pirmąjį vakarėlio slapuką svetainėje hulu.com. Tai reiškia, kad kitos svetainės, prenumeruojančios kissmetrics.com paslaugą, galėtų sinchronizuoti šiuos identifikatorius savo domenuose “.

Kaip aš galiu juos sustabdyti?

Deja, tokio tipo talpyklos stebėjimo praktiškai neįmanoma nustatyti, todėl patikima prevencija yra labai sunki. Turėtumėte išvalyti talpyklą tarp kiekvienos jūsų aplankytos svetainės, kaip ir visiškai išjungti talpyklą. Deja, šie metodai yra sunkūs ir neigiamai paveiks jūsų naršymą.

„Firefox“ papildomas slaptasis agentas neleidžia sekti „ETags“, tačiau greičiausiai padidins naršyklės pirštų atspaudus (arba dėl veikimo būdo, o gal ne).

Istorijos vagystė

Dabar mums pradeda labai baisu. Istorijos vagystė (dar vadinama istorijos šnipinėjimu) išnaudoja žiniatinklio kūrimo būdą, leisdama jūsų aplankytoje svetainėje sužinoti savo ankstesnę naršymo istoriją.

Paprasčiausias metodas, žinomas apie dešimtmetį, remiasi tuo, kad internetinės nuorodos keičia spalvą, kai jas spustelite (tradiciškai nuo mėlynos iki violetinės). Kai prisijungiate prie svetainės, ji gali užklausti jūsų naršyklėje naudodama klausimus „taip / ne“, į kuriuos jūsų naršyklė tiksliai atsakys, leisdama užpuolikui sužinoti, kurios nuorodos pakeitė spalvą, ir todėl gali sekti jūsų naršymo istoriją.

Nepaisant nenoro šalinti šios saugumo spragos, nes ji daro įtaką pasaulinio tinklo veikimui, dauguma šiuolaikinių naršyklių dabar teikia apsaugą nuo šios bazinės istorijos vagystės išpuolių, tačiau kitos sudėtingesnės atakos, kurios priklauso nuo CSS puslapio išdėstymo ir vaizdo atributų, vis dar naudojamos.

Istorijos vogimo naudojimas norint unikaliai atpažinti jus

Gerai, kad svetainė gali sekti jūsų naršymo istoriją pavogdama istoriją, bet ji negalėjo nustatyti, kas jūs esate, tiesa? Neteisinga. Taikant asmens tapatybės nustatymo pirštų atspaudų procesą, kai svetainė atitinka jūsų lankomus tinklalapius socialinių tinklų grupėse, ji turi didelę galimybę identifikuoti jus kaip unikalų asmenį..

Apsvarstykite: beveik visuose socialiniuose tinkluose (pvz., „Facebook“) galite prisijungti prie interesų grupių, o dauguma iš mūsų prisijungia prie dešimčių šių grupių, kurių dauguma greičiausiai yra viešos. Viešų grupių, prie kurių prisijungiate, sąrašo dažnai pakanka, kad suteiktumėte individualų pirštų atspaudą, kurį galima suderinti su jūsų socialinio tinklo profiliu. Jei reguliariai lankotės svetainėse, kurios yra susijusios su jūsų socialinio tinklo grupės interesais, tada gana lengva suderinti pavogtą žiniatinklio istoriją su savo socialinio tinklo profiliu..

Kaip mes sakėme, baisu! Taip pat, deja, nėra daug ką galite padaryti. * Netgi daugiau nei „įprastus“ superkepinius žiniatinklio pramonė laiko istorijos vagyste neetiška, tačiau bandymai nustatyti savanoriškai savo pačių nustatytas pramonės gaires iki šiol nieko nedarė..

* Pastaba: kaip pastebėjo skaitytoja Annie, ištrynus naršymo istoriją ir slapukus taip pat turėtų būti pakeistos nuorodos spalvos. Kuris neleis vogti istorijos. Be abejo, jei neištrinsite naršymo istorijos ir kt. Po kiekvieno jūsų aplankyto puslapio, ši technika vis tiek padės daug sužinoti apie jūsų naršymo istoriją.

Išvada

Iš tikrųjų vyksta ginklų karas tarp komercinės reklamos internete interesų ir įprasto interneto, naudojančio visuomenę, ir reikia pasakyti, kad komerciniai interesai laimi. Daugybė išpuolių dabar yra tokie sudėtingi ir subtilūs (žymiausias naršyklės pirštų atspaudų spausdinimas ir istorijos vogimas), kad patikima prevencija yra beveik neįmanoma ir, be abejo, reikia tam tikrų pastangų, nepatogumų ir techninių žinių, kad net labiausiai susirūpinusiems žmonėms priversime gūžti pečiais ir duoti aukštyn. Mes nekenčiame to sakyti, bet turbūt vienintelis atsakymas slypi įstatymuose arba bent jau tvirtame pramonės pripažintame savanoriškame elgesio kodekse, kuris atgrasins garbingesnes svetaines nuo tokio elgesio..

Geras situacijos dalykas yra tai, kad dauguma metodų jūsų individualiai neidentifikuoja (net pirštų atspaudų rinkimas socialiniame tinkle, nors ir baisiai efektyvus, nėra patikimas), o jei maskuojate savo IP adresą su VPN (arba „Tor“). tada nueisite ilgą kelią, kad atskirtumėte tikrąją tapatybę nuo stebimos žiniatinklio elgsenos.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me