Čo sú Supercookies, Zombie Cookies a Evercookies a sú škodlivé?

Sledovanie bolo vždy jedným z najväčších problémov ochrany osobných údajov používateľov súborov cookie , ale to sa vďaka internetu zmenilo. Zatiaľ čo bežné súbory cookie prehliadača sú celkom užitočné a ľahko sa vymazávajú , existujú aj iné varianty, ktoré sú vytvorené tak, aby uchovávali a sledovali aktivity používateľov pri prehliadaní. Dve z týchto variácií sú supercookies a zombie cookies (bežne známe ako „Evercookies“). Tieto dva varianty sú známe, pretože spôsobujú veľa ťažkostí ľuďom, ktorí ich chcú odstrániť. Našťastie sa im „dostala“ náležitá pozornosť bezpečnostných expertov a dnešné webové prehliadače sa neustále vyvíjajú, aby bojovali s týmito zložitými záludnými sledovacími technikami.

Supercookies

Tento výraz môže byť trochu mätúci, pretože sa ním označuje množstvo rôznych technológií, z ktorých niektoré sú vlastne súbory cookie. Vo všeobecnosti sa tento výraz vzťahuje na veci, ktoré prepíšu váš profil prehliadania, aby vám poskytli jedinečné ID. Týmto spôsobom podporujú rovnaké funkcie ako cookies, umožňujú webovým stránkam a inzerentom sledovať vás, no na rozdiel od cookies ich nemožno vymazať.

Často budete počuť výraz „supercookie“ používaný v súvislosti s hlavičkami jedinečných identifikátorov (UIDH) a ako zraniteľnosť v HTTP Strict Transport Security (HSTS), hoci pôvodné slovné spojenie odkazuje na súbory cookie pochádzajúce z domény najvyššej úrovne . To znamená, že súbor cookie je možné nastaviť pre názov domény, ako napríklad „.com“ alebo „.co.uk“, čo umožňuje, aby ho videla každá webová stránka s príponou tejto domény.

Ak Google.com nastaví supercookie, tento súbor cookie bude viditeľný na akejkoľvek inej stránke „.com“. Ide samozrejme o problém ochrany osobných údajov, ale keďže ide inak o bežný súbor cookie, väčšina moderných prehliadačov ich predvolene blokuje. Pretože o tomto type supercookies už nikto veľa nehovorí, často budete počuť viac o ďalších dvoch (Zombie Cookies a Evercookies).

Hlavička jedinečného identifikátora (UIDH)

Hlavička jedinečného identifikátora sa zvyčajne nenachádza vo vašom počítači, zobrazuje sa medzi vaším ISP a serverom webovej lokality. Takto sa vytvára UIDH:

1. Svojmu ISP odošlete žiadosť o webovú stránku.
2. Predtým, ako váš ISP prepošle požiadavku na server, pridá do hlavičky vašej požiadavky jedinečný reťazec identifikátora.
3. Tento jedinečný identifikačný reťazec umožňuje webovým stránkam identifikovať vás ako rovnakého používateľa pri každej návšteve, a to aj v prípade, že ste ich súbory cookie vymazali. Keď webové stránky vedia, kto ste, jednoducho nastavia rovnaký súbor cookie priamo do vášho prehliadača.

Jednoducho povedané, ak váš ISP používa sledovanie UIDH, odošle váš osobný „podpis“ na každú webovú stránku, ktorú navštívite. Je to užitočné najmä pri optimalizácii príjmov z reklamy, ale je dosť nepríjemné, že FCC udelila spoločnosti Verizon pokutu 1,35 milióna dolárov za to, že o tom neinformovala svojich zákazníkov alebo ich neposkytla. Poskytnite im možnosť odhlásiť sa.

Mimo Verizonu nie je veľa údajov, kde spoločnosti používajú informácie v štýle UIDH, ale odpor spotrebiteľov z toho urobil nepopulárnu stratégiu. Dokonca to funguje iba na nešifrovaných pripojeniach HTTP. Navyše, keďže väčšina webových stránok dnes štandardne používa HTTPS a môžete si jednoducho stiahnuť doplnky ako HTTPS Everywhere, tento supercookie už nie je taký veľký problém a pravdepodobne sa ani nebude široko používať. Ak chcete ďalšie vrstvy ochrany, použite sieť VPN . VPN zaisťuje, že vaša žiadosť bude preposlaná na webovú stránku bez pripojeného UIDH.

HTTPS Strict Transfer Security (HSTS)

HSTS (HTTP Strict Transport Security) je bezpečnostná politika potrebná na ochranu webových stránok zabezpečených HTTPS pred útokmi nízkej úrovne. HSTS zaisťuje, že všetky pripojenia k webovej stránke sú šifrované pomocou protokolu HTTPS a nikdy nepoužívajú protokol HTTP. V súčasnosti Google aplikuje HSTS na 45 domén najvyššej úrovne vrátane domén končiacich na .google, .how a .soy.

HSTS je naozaj dobré riešenie. Umožňuje vášmu prehliadaču bezpečne presmerovať webovú stránku na verziu HTTPS namiesto nezabezpečenej verzie HTTP. Bohužiaľ sa dá použiť aj na vytvorenie supercookie s nasledujúcim vzorcom:

1. Vytvorte viacero subdomén (napríklad „domena.com“, „subdomena2.domena.com“...).
2. Priraďte každému návštevníkovi vašej hlavnej stránky náhodné číslo.
3. Prinútiť používateľov načítať všetky vaše subdomény ich pridaním do skrytých pixelov na stránke alebo presmerovať používateľov cez každú subdoménu počas načítavania stránky.
4. Pre niektoré subdomény vyžadujú, aby prehliadač používateľa používal HSTS na prechod na zabezpečenú verziu. Pre niektorých ostatných nechávajú doménu ako HTTP nezabezpečenú.
5. Ak je povolená zásada HSTS subdomény, počíta sa ako „1“. Ak je vypnutá, počíta sa ako „0“. Pomocou tejto stratégie môže webová lokalita zaznamenať náhodné ID používateľa ako binárne v nastaveniach HSTS prehliadača.
6. Zakaždým, keď sa návštevník vráti, webová lokalita skontroluje pravidlá HSTS v prehliadači používateľa, HSTS vráti rovnaké počiatočné vygenerované binárne číslo, ktoré identifikuje používateľa.

Znie to zložito, ale skrátka, webová stránka môže váš prehliadač prinútiť vytvoriť a zapamätať si nastavenia zabezpečenia pre mnoho stránok a pri ďalšej návšteve môže prostredníctvom údajov zistiť, kto ste.

Spoločnosť Apple tiež predstavila riešenia tohto problému, ako napríklad povoliť nastavenie HSTS iba pre jednu alebo dve hlavné domény na stránku a obmedziť počet presmerovaní, ktoré môžu stránky používať. Iné prehliadače sa pravdepodobne budú riadiť týmito bezpečnostnými opatreniami (príkladom je režim inkognito Firefoxu), ale keďže nebolo vykonané žiadne potvrdenie týkajúce sa účinnosti, nie je to tak. Pre väčšinu prehliadačov je to najvyššia priorita. Problémy môžete vyriešiť sami, ak sa dozviete viac o niektorých spôsoboch ručnej inštalácie a odstraňovania politík HSTS.

Zombie cookies/Evercookies

Zombie cookies, tiež známe ako Evercookie, sú v podstate JavaScript API vytvorené na ilustráciu ťažkostí, ktorým budete čeliť pri pokuse o vymazanie cookies.

Zombie cookies sa nedajú vymazať, pretože sú skryté mimo vášho bežného úložiska cookies. Miestne úložisko je hlavným cieľom Zombie cookies ( Adobe Flash a Microsoft Silverlight to často používajú) a problémom môže byť aj niektoré úložisko HTML5 . Zombie cookies sa môžu dokonca nachádzať vo vašej histórii prehliadania alebo vo farebných kódoch RGB , ktoré váš prehliadač umožňuje ukladať do vyrovnávacej pamäte.

Mnohé bezpečnostné nedostatky však postupne miznú. Flash a Silverlight nie sú dôležitou súčasťou moderného webového dizajnu a mnohé prehliadače už nie sú náchylné na Evercookie. Keďže existuje toľko rôznych spôsobov, ako môžu tieto súbory cookie naraziť a „parazitovať“ váš systém, neexistuje spôsob, ako sa chrániť, ale rutinné čistenie prehliadača nie je nikdy dobrý nápad.

Sme v bezpečí alebo nie?

Vývoj technológie online sledovania je v dnešnom svete bezpečnosti neustály závod, takže ak je súkromie niečo, o čo sa obzvlášť zaujímate, pravdepodobne by ste si mali zvyknúť na skutočnosť, že nikdy nemôžeme zaručiť 100% bezpečnosť v online prostredí.

Supercookies sa však nemusíte príliš obávať, pretože nie sú príliš bežné a sú stále agresívnejšie blokované. Tieto súbory cookie zostávajú aktívne, kým nie sú opravené všetky chyby zabezpečenia, a vždy ich možno aktualizovať pomocou nových technológií.

Pozrieť viac:

• Ako odstrániť súbory cookie v prehliadači Chrome pre každú webovú stránku
• Nepoškodzujú cookies váš počítač?
• Ako odstrániť vyrovnávaciu pamäť a súbory cookie v prehliadačoch Chrome, Firefox a Coc Coc
• Pokyny na odstránenie súborov cookie v počítači so systémom Windows