Fler saker som stöter på natten: HTTP-etiketter, webblagring och “historia stjäl”

I våra artiklar om Flash-kakor och webbläsarfingeravtryck tittade vi på hur kommersiella internetföretag, särskilt analyser och reklamdomäner från tredje part, använder allt mer lustiga och sofistikerade metoder för att undvika allmänhetens medvetenhet om farorna med HTTP-cookies, så att de kan fortsätta att identifiera och spåra våra rörelser över webben.

Även om Flash-kakor (inklusive så kallade zombie-cookies) och, allt mer, webbläsarfingeravtryck, är de vanligaste metoderna som används för att göra detta, finns det andra. I den här artikeln kommer vi att titta på några av dessa och diskutera hur de kan bli folierade.

HTML5 webblagring

En funktion i HTML5 (den mycket uppskattade ersättningen till Flash) är webblagring (även känd som DOM (Document Object Model) lagring). Även läskigare och mycket kraftfullare än kakor är webblagring ett sätt som är analogt med kakor för att lagra data i en webbläsare, men som är mycket mer ihållande, har en mycket större lagringskapacitet och som normalt inte kan övervakas, läsas eller selektivt tas bort från din webbläsare.

Till skillnad från vanliga HTTP-kakor som innehåller 4 kB data, tillåter webblagring 5 MB per ursprung i Chrome, Firefox och Opera och 10 MB i Internet Explorer. Webbplatser har en mycket större kontroll över webblagring och till skillnad från kakor går webblagring inte automatiskt ut efter en viss tid (dvs det är permanent som standard).

När Ashkan Soltani och ett team av forskare vid UC Berkeley genomförde en studie av webbspårning 2011, fann de att av de 100 största undersökta webbplatserna använde 17 webblagring, inklusive twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com och cnn.com. De flesta av dessa är anslutna till en tredje parts analystjänst som Meebo, KISSanalytics eller Pollydaddy.

Hur stoppar jag det?

Webblagring är ganska lätt att stänga av, men många webbplatser (t.ex. CNN) fungerar inte ordentligt om du gör det.

I Firefox:

  • Starta Firefox och skriv om: config i adressfältet
  • I Klicka "Jag ska vara försiktig, jag lovar!"
  • Rulla ner tills du når dom.storage.enabled eller kopiera / klistra in 'dom.storage.enabled' i sökfältet
  • Dubbelklicka på "dom.storage.enabled", och det kommer att ändras från standardvärdet "true" till "falskt"

Firefox-användare kan också konfigurera BetterPrivacy-tillägget för att ta bort webblagring automatiskt regelbundet, eller använda Click&Rengör addon.

I Internet Explorer:

  • Starta Internet Explorer och öppna menyn Verktyg
  • Välj "Internetalternativ"
  • Klicka på fliken "Avancerat"
  • Rulla ner tills du når 'Säkerhet'
  • Avmarkera rutan för 'Aktivera DOM-lagring'
  • Klicka på "Ok"

I Chrome:

Chrome-användare kan använda Click&Ren tillägg eller alternativt den mångsidiga Google NotScripts-förlängningen, men detta kräver en hög grad av konfigurering.

I Safari och Opera:

Dessa webbläsare använder webblagring, men så vitt vi vet finns det inget sätt att stänga av det.

Observera att användningen av alla webbläsarförlängningar ökar chansen att göra webbläsarens fingeravtryck unikt.

HTTP-etiketter

ET-märken (eller entitetstaggar, ibland kallade "cookieless cookies") är "del av HTTP, protokollet för World Wide Web" vars syfte är att identifiera en specifik resurs på en URL och spåra eventuella ändringar som gjorts i den.

Metoden med vilken dessa resurser jämförs gör att de kan användas som fingeravtryck, eftersom servern helt enkelt ger varje webbläsare en unik ETag, och när den ansluter igen kan den slå ETAG upp i sin databas.

Den första upptäckta användningen av ETags "i naturen" som en spårningsmekanism gjordes av Ashkan Soltani och hans team, som fann att mediaströmningswebbplatsen Hulu använde en tjänst som var värd av webbanalysföretaget KISSmetrics för att respawn (Zombie-stil) HTTP och HTML5 kakor med "cachen för att spegla värden, specifikt ET-märken."

I rapporten konstateras att 'ETag-spårning och respawning är särskilt problematiskt eftersom tekniken genererar unika spårningsvärden även när konsumenten blockerar HTTP-, Flash- och HTML5-kakor' och 'även i privat surfningsläge, ETAG kan spåra användaren under en webbläsarsession .'

Kanske ännu värre, "ETAG-respawning vi observerade sätter en första party cookie på hulu.com. Detta innebär att andra webbplatser som prenumererar på tjänsten kissmetrics.com kan synkronisera dessa identifierare över sina domäner. '

Hur kan jag stoppa dem?

Tyvärr är denna typ av cachespårning praktiskt taget inte upptäckbar, så tillförlitligt förebyggande är mycket svårt. Att rensa din cache mellan varje webbplats du besöker bör fungera, liksom att stänga av din cache helt. Tyvärr är dessa metoder svåra och kommer att påverka din surfupplevelse negativt.

Firefox-tillägget Secret Agent förhindrar spårning av ETags, men kommer sannolikt att öka webbläsarens fingeravtryck (eller på grund av hur det fungerar, kanske inte).

Historia stjäla

Nu börjar vi bli riktigt skrämmande. Historia stjäl (även känd som historia snooping) utnyttjar sättet på vilket webben är utformad, vilket gör att en webbplats du besöker för att upptäcka din tidigare surfhistorik.

Den enklaste metoden, som har varit känd för i ett decennium, förlitar sig på att webblänkar ändrar färg när du klickar på dem (traditionellt från blått till lila). När du ansluter till en webbplats kan den fråga din webbläsare genom en serie ja / nejfrågor som din webbläsare med tro kommer att svara på, vilket gör att angriparen kan upptäcka vilka länkar som har ändrat färg, och därför spåra din surfhistorik.

Trots en motvilja mot att hantera denna säkerhetsbrist eftersom den påverkar hur World Wide fungerar, erbjuder de flesta moderna webbläsare nu skydd mot denna grundläggande historia som stjäl attack, men andra mer sofistikerade attacker som bygger på CSS-sidlayouter och bildattribut kvarstår.

Använd historia för att identifiera dig på ett unikt sätt

Okej, så en webbplats kan spåra din surfhistorik med hjälp av historia som stjäl, men den kunde inte möjligen identifiera vem du är, eller hur? Fel. Med hjälp av en process för identitetsfingeravtryck, där en webbplats matchar webbsidorna du har besökt i sociala nätverksgrupper, har den en stor chans att identifiera dig som en unik individ.

Tänk på: Nästan alla sociala nätverk (t.ex. Facebook) låter dig gå med i intressegrupper, och de flesta av oss går med i dussintals av dessa grupper, av vilka många troligen kommer att vara offentliga. Listan över offentliga grupper som du går med räcker ofta för att ge dig ett individuellt fingeravtryck, som kan matchas med din sociala nätverksprofil. Om du regelbundet besöker webbplatser som korrelerar med dina sociala nätverksgruppintressen är det en ganska lätt fråga att matcha din stulna webbhistorik till din sociala nätverksprofil.

Som vi sa, skrämmande! Dessutom är det tyvärr inte så mycket du kan göra åt det. * Även mer än "vanliga" superkokor anser webbbranschen att historien stal är oetisk, men försök att etablera frivilligt självpålagda branschriktlinjer har hittills inte gjort något.

* Obs: Som läsaren Annie har observerat bör radering av din surfhistorik och cookies också återställas länkfärger. Vilket förhindrar att stjäl historia. Naturligtvis, om du inte tar bort din surfhistorik etc. efter varje enskild sida du besöker, kommer denna teknik fortfarande sannolikt att kunna avgöra en hel del om din surfhistorik.

Slutsats

Det pågår faktiskt ett pågående vapenkrig mellan kommersiella internetreklamintressen och det vanliga internet som använder allmänheten, och det måste sägas att kommersiella intressen vinner. Många attacker är nu så sofistikerade och subtila (mest anmärkningsvärda webbläsarfingertryckning och historia stjäl) att tillförlitligt förebyggande är nästan omöjligt, och säkert tar en viss ansträngning, besvär och teknisk kunskap för att få även de mest bekymrade av oss att axla axlarna och ge upp. Vi hatar att säga det, men kanske det enda svaret ligger i lagstiftning, eller åtminstone en robust industrin erkänd frivillig uppförandekod som kommer att avskräcka mer respektabla webbplatser från att hänge sig åt denna typ av beteende.

En bra sak med situationen är att även om de spårar dig identifierar de flesta metoder dig inte individuellt (till och med fingeravtryck på sociala nätverk, även om de är skrämmande effektiva, är inte tillförlitliga), och om du maskerar din IP-adress med en VPN (eller Tor) då kommer du att gå långt för att ta bort din verkliga identitet från ditt spårade webbbeteende.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me