În articolele noastre despre cookie-urile Flash și amprentarea digitală a browserului am analizat modul în care companiile comerciale de internet, în special domeniile de analiză și publicitate ale terților, utilizează metode din ce în ce mai pline de înțelegere și sofisticare pentru a sustrage conștientizarea publicului despre pericolele cookie-urilor HTTP, astfel încât acestea pot continua să identifice în mod unic și urmăriți-ne mișcările pe web.

În timp ce cookie-urile Flash (inclusiv așa-numitele cookie-uri zombie) și, din ce în ce mai mult, amprentarea browserului, sunt metodele cele mai utilizate pentru a face acest lucru, există și altele. În acest articol vom analiza unele dintre acestea și vom discuta despre cum pot fi ele.

Stocare Web HTML5

O caracteristică a HTML5 (multă înlocuire a lui Flash) este stocarea Web (cunoscută și sub numele de DOM (Document Object Model)). Chiar mai înfiorător și mult mai puternic decât cookie-urile, stocarea web este o modalitate analogă cookie-urilor de stocare a datelor într-un browser web, dar care este mult mai persistentă, are o capacitate de stocare mult mai mare și care în mod normal nu poate fi monitorizată, citită sau selectivă. eliminat din browserul dvs. web.

Spre deosebire de cookie-urile HTTP obișnuite care conțin 4 kB de date, stocarea web permite 5MB pe origine în Chrome, Firefox și Opera și 10 MB în Internet Explorer. Site-urile web au un nivel de control mult mai mare asupra stocării web și, spre deosebire de cookie-uri, stocarea web nu expiră automat după o anumită perioadă de timp (adică este permanentă în mod implicit).

Când Ashkan Soltani și o echipă de cercetători de la UC Berkeley au efectuat un studiu de urmărire web în 2011, ei au descoperit că din primele 100 de site-uri web examinate, 17 au folosit stocare web, inclusiv twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com și cnn.com. Majoritatea acestora s-au conectat la un serviciu de analiză terță parte precum Meebo, KISSanalytics sau Pollydaddy.


Cum să o opresc?

Spațiul de stocare web este destul de ușor de dezactivat, dar multe site-uri (de ex. CNN) nu vor funcționa corect dacă faceți acest lucru.

În Firefox:

  • Lansați Firefox și tastați despre: configurați în bara de adrese
  • În clic „Voi fi atent, promit!”
  • Derulați în jos până ajungeți la dom.storage.enabled sau copiați / inserați „dom.storage.enabled” în bara de căutare
  • Faceți dublu clic pe „dom.storage.enabled” și se va schimba de la valoarea implicită „adevărat” la „fals”

Utilizatorii Firefox pot configura, de asemenea, suplimentul BetterPrivacy pentru a elimina automat stocarea web în mod regulat sau pot utiliza clicul&Addon curat.

În Internet Explorer:

  • Lansați Internet Explorer și deschideți Meniul Instrumente
  • Selectați „Opțiuni Internet”
  • Faceți clic pe fila „Advanced”
  • Derulați în jos până ajungeți la „Securitate”
  • Debifați caseta pentru „Activare stocare DOM”
  • Dați clic pe „OK”

În Chrome:

Utilizatorii Chrome pot utiliza clicul&Curățați extensia sau, alternativ, extensia versatilă Google NotScripts, dar acest lucru necesită un grad ridicat de configurare.

În Safari și Opera:

Aceste browsere folosesc spațiu de stocare web, dar, din câte știm, nu există nicio modalitate de a-l opri.

Rețineți că utilizarea oricărei extensii a browserului crește șansa de a face amprenta digitală a browserului unică.

Etichete HTTP

ETag-urile (sau etichetele de entitate, denumite uneori „cookie-uri fără bucătărie”) sunt „parte a HTTP, protocolul pentru World Wide Web” al cărui scop este identificarea unei resurse specifice la o adresă URL și urmărirea oricăror modificări aduse acesteia..

Metoda prin care sunt comparate aceste resurse le permite să fie utilizate ca amprente, deoarece serverul oferă pur și simplu fiecărui browser un ETag unic, iar atunci când se conectează din nou poate căuta ETag în baza de date.

Prima utilizare descoperită a ETag-urilor „în sălbăticie” ca mecanism de urmărire a fost făcută de Ashkan Soltani și echipa sa, care au descoperit că site-ul de streaming media Hulu folosea un serviciu găzduit de compania de analiză web KISSmetrics pentru reîncărcarea (stilul zombie) HTTP și HTML5 cookie-uri folosind „memoria cache pentru a reflecta valorile, în special ETag-urile.”

Raportul notează că „Urmărirea și reluarea ETag este deosebit de problematică, deoarece tehnica generează valori de urmărire unice, chiar și în cazul în care consumatorul blochează cookie-urile HTTP, Flash și HTML5” și chiar în modul de navigare privată, ETag-urile pot urmări utilizatorul în timpul unei sesiuni de browser. .“

Poate chiar și mai rău, „reîncărcarea ETag pe care am observat că a setat un prim cookie pe hulu.com. Aceasta înseamnă că alte site-uri care se abonează la serviciul kissmetrics.com ar putea sincroniza aceste identificatoare pe domeniile lor. "

Cum pot să-i opresc?

Din păcate, acest tip de urmărire cache este practic nedetectabil, astfel încât prevenirea fiabilă este foarte grea. Ștergerea memoriei cache între fiecare site web pe care îl vizitați ar trebui să funcționeze, precum ar trebui să dezactiveze cu totul cache-ul. Din păcate, aceste metode sunt dificile și vor afecta negativ experiența dvs. de navigare.

Adăugarea secretă Firefox împiedică urmărirea de către ETags, dar probabil va mări amprenta browserului dvs. (sau din cauza modului de funcționare, poate nu).

Furarea istoriei

Acum începem să ne speriem cu adevărat. Furarea istoricului (cunoscută și sub numele de istorie) exploatează modul în care este proiectat Web-ul, permițând unui site web pe care îl vizitați să descopere istoricul dvs. de navigare din trecut.

Cea mai simplă metodă, cunoscută de aproape un deceniu, se bazează pe faptul că legăturile web își schimbă culoarea atunci când faceți clic pe ele (în mod tradițional de la albastru la violet). Când vă conectați la un site web, acesta poate interoga browserul dvs. printr-o serie de întrebări da / nu la care browserul dvs. va răspunde cu fidelitate, permițând atacatorului să descopere ce legături și-au schimbat culoarea și, prin urmare, să vă urmăriți istoricul de navigare..

În ciuda reticenței de a aborda acest defect de securitate, deoarece afectează modul în care funcționează World Wide, majoritatea browserelor moderne oferă acum protecție împotriva acestui atac de furt din istoria de bază, dar alte atacuri mai sofisticate care se bazează pe machete de pagini CSS și atribute de imagine..

Folosind Istoric furați pentru a vă identifica în mod unic

Bine, deci un site web vă poate urmări istoricul de navigare folosind furtul istoricului, dar nu ar putea identifica cine sunteți, nu? Gresit. Folosind un proces de amprentare identitară, prin care un site web se potrivește cu paginile web pe care le-ați vizitat grupurilor de rețele sociale, are șanse mari să vă identifice ca persoană unică.

Luați în considerare: Aproape toate rețelele de socializare (de ex. Facebook) vă permit să vă alăturați grupurilor de interese, iar majoritatea dintre noi se alătură zeci dintre aceste grupuri, multe dintre ele probabil că sunt publice. Lista grupurilor publice la care vă alăturați este destul de adesea pentru a vă oferi o amprentă individuală, care poate fi adaptată la profilul rețelei dvs. sociale. Dacă vizitați în mod regulat site-uri web care corespund intereselor grupului dvs. de rețele sociale, atunci este destul de ușor să vă potriviți istoricul web furat cu profilul rețelei dvs. sociale.

Cum am spus, înfricoșător! De asemenea, din păcate, nu puteți face multe lucruri în acest sens. * Chiar mai mult decât supercookies „obișnuite”, industria web consideră că istoria furtului este lipsită de etică, dar încercările de a stabili reguli industriale impuse de sine stătătoare nu au ajuns până acum la nimic.

* Notă: După cum a observat cititorul Annie, ștergerea istoricului de navigare și a cookie-urilor ar trebui să reseteze și culorile linkului. Ceea ce va împiedica furtul istoricului. Desigur, cu excepția cazului în care vă ștergeți istoricul de navigare etc., după fiecare pagină vizitată, această tehnică va putea în continuare să determine foarte multe despre istoricul de navigare..

Concluzie

Există în mod efectiv un război de armă între interesele comerciale de publicitate pe internet și internetul obișnuit care utilizează publicul și trebuie spus că interesele comerciale sunt câștigătoare. Multe atacuri sunt acum atât de sofisticate și subtile (cea mai notabilă imprimarea prin deget a browserului și furtul istoricului) încât prevenirea fiabilă este aproape imposibilă și, cu siguranță, necesită un anumit efort, inconvenient și cunoștințe tehnice pentru a face chiar și cei mai preocupați să ne ridică din umeri și să dăm. sus. Urăm să o spunem, dar poate singurul răspuns este legiferarea sau cel puțin un cod de conduită voluntar, recunoscut de industrie, robust, care va descuraja site-urile web mai respectabile să se dedice acestui tip de comportament..

Singurul lucru bun despre situație este că, deși vă urmăresc, majoritatea metodelor nu vă identifică individual (chiar și amprentarea rețelelor sociale, deși este eficientă, nu este de încredere), iar dacă vă mascați adresa IP cu un VPN (sau Tor) atunci veți parcurge un drum lung pentru a vă disocia identitatea reală de comportamentul dvs. web urmărit.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me