Weitere Dinge, die in der Nacht stören: HTTP ETags, Web Storage und “History Stealing”

In unseren Artikeln über Flash-Cookies und Browser-Fingerabdrücke haben wir untersucht, wie kommerzielle Internetunternehmen, insbesondere Analytics- und Werbedomänen von Drittanbietern, zunehmend hinterhältige und ausgefeilte Methoden einsetzen, um die Öffentlichkeit auf die Gefahren von HTTP-Cookies aufmerksam zu machen und sie weiterhin eindeutig identifizieren zu können und verfolgen Sie unsere Bewegungen im Web.

Während Flash-Cookies (einschließlich so genannter Zombie-Cookies) und zunehmend Browser-Fingerabdrücke die am häufigsten verwendeten Methoden sind, gibt es andere. In diesem Artikel werden wir uns einige davon ansehen und diskutieren, wie sie vereitelt werden können.

HTML5 Web Storage

Eine Funktion von HTML5 (der viel gepriesene Ersatz für Flash) ist der Webspeicher (auch als DOM-Speicher (Document Object Model) bezeichnet). Noch gruseliger und viel leistungsfähiger als Cookies, ist die Speicherung im Web eine Art und Weise, wie Cookies Daten in einem Webbrowser speichern. Sie ist jedoch viel beständiger, hat eine viel größere Speicherkapazität und kann normalerweise nicht überwacht, gelesen oder selektiv ausgeführt werden von Ihrem Webbrowser entfernt.

Im Gegensatz zu normalen HTTP-Cookies, die 4 kB Daten enthalten, ermöglicht der Webspeicher 5 MB pro Ursprung in Chrome, Firefox und Opera und 10 MB in Internet Explorer. Websites haben ein viel höheres Maß an Kontrolle über den Webspeicher und im Gegensatz zu Cookies läuft der Webspeicher nicht automatisch nach einer bestimmten Zeitspanne ab (d. H. Er ist standardmäßig permanent)..

Als Ashkan Soltani und ein Forscherteam der UC Berkeley 2011 eine Studie zum Web-Tracking durchführten, stellten sie fest, dass von den 100 untersuchten Websites 17 Web-Speicher verwendeten, darunter twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com und cnn.com. Die meisten davon waren mit einem Analysedienst eines Drittanbieters wie Meebo, KISSanalytics oder Pollydaddy verbunden.

Wie kann ich damit aufhören??

Das Deaktivieren des Webspeichers ist recht einfach. In diesem Fall funktionieren jedoch viele Websites (z. B. CNN) nicht ordnungsgemäß.

In Firefox:

  • Starten Sie Firefox und geben Sie about: config in die Adressleiste ein
  • Klicken Sie auf "Ich werde vorsichtig sein, ich verspreche es!".
  • Scrollen Sie nach unten, bis Sie zu dom.storage.enabled gelangen, oder kopieren Sie dom.storage.enabled in die Suchleiste
  • Doppelklicken Sie auf "dom.storage.enabled". Der Standardwert "true" wird in "false" geändert.

Firefox-Benutzer können das BetterPrivacy-Addon auch so konfigurieren, dass Webspeicher regelmäßig automatisch entfernt wird, oder den Klick verwenden&Addon reinigen.

Im Internet Explorer:

  • Starten Sie den Internet Explorer und öffnen Sie das Menü Extras
  • Wählen Sie "Internetoptionen".
  • Klicken Sie auf die Registerkarte "Erweitert"
  • Scrollen Sie nach unten, bis Sie zu "Sicherheit" gelangen.
  • Deaktivieren Sie das Kontrollkästchen für "DOM-Speicher aktivieren".
  • OK klicken'

In Chrome:

Chrome-Nutzer können den Klick verwenden&Clean-Erweiterung oder alternativ die vielseitige Google NotScripts-Erweiterung, die jedoch einen hohen Konfigurationsaufwand erfordert.

In Safari und Opera:

Diese Browser verwenden zwar Webspeicher, können jedoch unseres Wissens nach nicht deaktiviert werden.

Beachten Sie, dass die Verwendung einer beliebigen Browsererweiterung die Chance erhöht, den Fingerabdruck des Browsers eindeutig zu machen.

HTTP ETags

ETags (oder Entity-Tags, die manchmal als "cookielose Cookies" bezeichnet werden) sind "Teil von HTTP, dem Protokoll für das World Wide Web", dessen Zweck es ist, eine bestimmte Ressource unter einer URL zu identifizieren und etwaige Änderungen daran zu verfolgen.

Durch die Methode, mit der diese Ressourcen verglichen werden, können sie als Fingerabdrücke verwendet werden, da der Server jedem Browser einfach ein eindeutiges ETag gibt und beim erneuten Herstellen einer Verbindung das ETag in seiner Datenbank nachschlagen kann.

Die erste entdeckte Verwendung von ETags 'in the wild' als Tracking-Mechanismus wurde von Ashkan Soltani und seinem Team gemacht, die feststellten, dass die Media-Streaming-Website Hulu einen Service des Webanalyse-Unternehmens KISSmetrics zum Respawn von HTTP und HTML5 (im Zombie-Stil) verwendete Cookies, die "den Cache verwenden, um Werte zu spiegeln, insbesondere ETags".

Der Bericht stellt fest, dass "ETag-Tracking und -Respawning besonders problematisch sind, da das Verfahren eindeutige Tracking-Werte generiert, selbst wenn der Consumer HTTP-, Flash- und HTML5-Cookies blockiert" und "ETags den Benutzer auch im privaten Browsermodus während einer Browsersitzung verfolgen kann." . '

Vielleicht noch schlimmer ist, dass das von uns beobachtete ETag-Respawning ein First-Party-Cookie auf hulu.com gesetzt hat. Dies bedeutet, dass andere Sites, die den Dienst kissmetrics.com abonnieren, diese IDs über ihre Domains hinweg synchronisieren können. "

Wie kann ich sie aufhalten??

Leider ist diese Art der Cache-Verfolgung praktisch nicht nachweisbar, sodass eine zuverlässige Vorbeugung sehr schwierig ist. Das Leeren des Caches zwischen den besuchten Websites sollte funktionieren, ebenso wie das Deaktivieren des Caches insgesamt. Leider sind diese Methoden mühsam und wirken sich negativ auf Ihr Browser-Erlebnis aus.

Das Firefox-Add-On Secret Agent verhindert das Verfolgen durch ETags, erhöht jedoch wahrscheinlich den Fingerabdruck Ihres Browsers (oder aufgrund der Funktionsweise, möglicherweise nicht)..

Geschichte stehlen

Jetzt fangen wir an, wirklich beängstigend zu werden. Das Stehlen von Verlaufsdaten (auch als Verlaufsdaten-Snooping bezeichnet) nutzt die Art und Weise, wie das Web gestaltet ist, und ermöglicht es einer von Ihnen besuchten Website, den Verlauf Ihrer vergangenen Browsing-Aktivitäten zu ermitteln.

Die einfachste Methode, die seit einem Jahrzehnt bekannt ist, beruht auf der Tatsache, dass Weblinks ihre Farbe ändern, wenn Sie darauf klicken (traditionell von blau nach lila). Wenn Sie eine Verbindung zu einer Website herstellen, kann Ihr Browser eine Reihe von Ja / Nein-Fragen beantworten, auf die Ihr Browser zuverlässig reagiert, sodass der Angreifer feststellen kann, welche Links die Farbe geändert haben, und somit Ihren Browserverlauf nachverfolgen kann.

Trotz der Zurückhaltung, diese Sicherheitslücke anzugehen, da sie die Funktionsweise von World Wide beeinflusst, bieten die meisten modernen Browser jetzt Schutz vor diesen grundlegenden Angriffen, bei denen der Verlauf gestohlen wird. Andere ausgefeiltere Angriffe, die auf CSS-Seitenlayouts und Bildattributen basieren, werden jedoch weiterhin verwendet.

Verwenden von Verlaufsdiebstahl, um Sie eindeutig zu identifizieren

Okay, eine Website kann Ihren Browserverlauf mithilfe von Verlaufsdiebstahl nachverfolgen, kann jedoch möglicherweise nicht identifizieren, wer Sie sind, oder? Falsch. Durch die Verwendung eines Identitätsfingerabdrucks, bei dem eine Website die von Ihnen besuchten Webseiten mit Social-Networking-Gruppen abgleichen kann, besteht eine hohe Wahrscheinlichkeit, dass Sie als eindeutige Person identifiziert werden.

Bedenken Sie: In fast allen sozialen Netzwerken (z. B. Facebook) können Sie Interessengruppen beitreten, und die meisten von uns treten Dutzenden dieser Gruppen bei, von denen viele wahrscheinlich öffentlich sind. Die Liste der öffentlichen Gruppen, denen Sie beitreten, reicht häufig aus, um Ihnen einen individuellen Fingerabdruck zu geben, der mit Ihrem Profil in sozialen Netzwerken abgeglichen werden kann. Wenn Sie regelmäßig Websites besuchen, die mit den Interessen Ihrer sozialen Netzwerkgruppen korrelieren, ist es ziemlich einfach, Ihr gestohlenes Webprotokoll mit Ihrem sozialen Netzwerkprofil abzugleichen.

Wie gesagt, gruselig! Leider gibt es auch nicht viel, was Sie dagegen tun können. * Noch mehr als „normale“ Superkekse hält die Webbranche das Stehlen von Geschichte für unethisch, doch Versuche, freiwillig selbst auferlegte Branchenrichtlinien festzulegen, sind bisher gescheitert.

* Hinweis: Wie Leserin Annie bemerkt hat, sollten beim Löschen Ihres Browserverlaufs und Ihrer Cookies auch die Linkfarben zurückgesetzt werden. Das wird verhindern, dass die Geschichte gestohlen wird. Selbstverständlich kann diese Technik, sofern Sie den Browserverlauf usw. nicht nach jeder einzelnen von Ihnen besuchten Seite löschen, noch viel über Ihren Browserverlauf herausfinden.

Fazit

Es herrscht praktisch ein ständiger Krieg zwischen kommerziellen Internet-Werbeinteressen und dem normalen Internet, das die Öffentlichkeit nutzt, und es muss gesagt werden, dass kommerzielle Interessen gewinnen. Viele Angriffe sind inzwischen so raffiniert und subtil (besonders hervorzuhebender Fingerabdruck des Browsers und Verlaufsdiebstahl), dass eine zuverlässige Prävention fast unmöglich ist. Dies erfordert mit Sicherheit ein gewisses Maß an Anstrengung, Unannehmlichkeiten und technischem Know-how, um selbst die Betroffenen von uns dazu zu bringen, mit den Achseln zu zu zu zucken und nachzugeben oben. Wir hassen es zu sagen, aber vielleicht liegt die einzige Antwort in der Gesetzgebung oder zumindest in einem soliden, von der Industrie anerkannten freiwilligen Verhaltenskodex, der seriösere Websites davon abhält, sich dieser Art von Verhalten hinzugeben.

Das Gute an der Situation ist, dass die meisten Methoden Sie zwar verfolgen, Sie jedoch nicht einzeln identifizieren (selbst Fingerabdrücke von sozialen Netzwerken sind zwar erschreckend effektiv, aber nicht zuverlässig) und wenn Sie Ihre IP-Adresse mit einem VPN (oder Tor) maskieren. Dann werden Sie einen langen Weg zurücklegen, um Ihre wahre Identität von Ihrem verfolgten Webverhalten zu trennen.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me