En nuestros artículos sobre cookies Flash y huellas digitales del navegador, observamos cómo las empresas comerciales de Internet, particularmente los dominios analíticos y publicitarios de terceros, están utilizando métodos cada vez más astutos y sofisticados para evadir la conciencia pública de los peligros de las cookies HTTP, para que puedan continuar identificándose de manera única. y seguir nuestros movimientos en la web.

Si bien las cookies Flash (incluidas las llamadas cookies zombie) y, cada vez más, las huellas digitales del navegador, son los métodos más utilizados para hacer esto, existen otros. En este artículo veremos algunos de estos y discutiremos cómo se pueden frustrar.

Almacenamiento web HTML5

Una característica de HTML5 (el reemplazo más preciado de Flash) es el almacenamiento web (también conocido como almacenamiento DOM (Modelo de objetos de documento)). Incluso más espeluznante y mucho más poderoso que las cookies, el almacenamiento web es una forma análoga a las cookies de almacenar datos en un navegador web, pero que es mucho más persistente, tiene una capacidad de almacenamiento mucho mayor y que normalmente no se puede monitorear, leer o selectivamente. eliminado de su navegador web.

A diferencia de las cookies HTTP normales que contienen 4 kB de datos, el almacenamiento web permite 5 MB por origen en Chrome, Firefox y Opera, y 10 MB en Internet Explorer. Los sitios web tienen un nivel mucho mayor de control sobre el almacenamiento web y, a diferencia de las cookies, el almacenamiento web no caduca automáticamente después de un cierto período de tiempo (es decir, es permanente de forma predeterminada).

Cuando Ashkan Soltani y un equipo de investigadores de UC Berkeley realizaron un estudio de seguimiento web en 2011, descubrieron que de los 100 principales sitios web encuestados, 17 usaban almacenamiento web, incluidos twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com y cnn.com. La mayoría de estos están conectados a un servicio de análisis de terceros como Meebo, KISSanalytics o Pollydaddy.

Como lo detengo?

El almacenamiento web es bastante fácil de desactivar, pero muchos sitios (por ejemplo, CNN) no funcionarán correctamente si lo hace.

En Firefox:

• Inicie Firefox y escriba about: config en la barra de direcciones
• En Click "¡Tendré cuidado, lo prometo!"
• Desplácese hacia abajo hasta llegar a dom.storage.enabled o copie / pegue 'dom.storage.enabled' en la barra de búsqueda
• Haga doble clic en "dom.storage.enabled" y cambiará de su valor predeterminado "verdadero" a "falso"

Los usuarios de Firefox también pueden configurar el complemento BetterPrivacy para eliminar el almacenamiento web automáticamente de forma regular, o usar el Click&Complemento limpio.

En Internet Explorer:

• Inicie Internet Explorer y abra el menú Herramientas.
• Seleccione "Opciones de Internet"
• Haga clic en la pestaña "Avanzado"
• Desplácese hacia abajo hasta llegar a "Seguridad"
• Desmarca la casilla para "Habilitar almacenamiento DOM"
• Haga clic en Aceptar'

En cromo:

Los usuarios de Chrome pueden usar Click&Extensión limpia o, como alternativa, la extensión versátil Google NotScripts, pero esto requiere un alto grado de configuración.

En Safari y Opera:

Estos navegadores usan almacenamiento web, pero hasta donde sabemos, no hay forma de desactivarlo.

Tenga en cuenta que el uso de cualquier extensión del navegador aumenta la posibilidad de hacer que la huella digital del navegador sea única.

HTTP ETags

Los ETags (o etiquetas de entidad, a veces denominadas "cookies sin cookies") son "parte de HTTP, el protocolo para la World Wide Web" cuyo propósito es identificar un recurso específico en una URL y rastrear cualquier cambio realizado en él.

El método por el cual se comparan estos recursos les permite ser utilizados como huellas digitales, ya que el servidor simplemente le da a cada navegador un ETag único, y cuando se conecta nuevamente puede buscar el ETag en su base de datos..

El primer uso descubierto de ETags 'en la naturaleza' como mecanismo de seguimiento fue realizado por Ashkan Soltani y su equipo, quienes descubrieron que el sitio web de transmisión de medios Hulu estaba utilizando un servicio alojado por la compañía de análisis web KISSmetrics para reaparecer (estilo Zombie) HTTP y HTML5 cookies que usan "el caché para reflejar los valores, específicamente ETags".

El informe señala que 'el seguimiento y reaparición de ETag es particularmente problemático porque la técnica genera valores de seguimiento únicos incluso cuando el consumidor bloquea las cookies HTTP, Flash y HTML5' e 'incluso en modo de navegación privada, los ETag pueden rastrear al usuario durante una sesión de navegador . '

Quizás aún peor, res la reaparición de ETag que observamos estableció una cookie de primera parte en hulu.com. Esto significa que otros sitios que se suscriben al servicio kissmetrics.com podrían sincronizar estos identificadores en sus dominios ".

¿Cómo puedo detenerlos??

Desafortunadamente, este tipo de seguimiento de caché es prácticamente indetectable, por lo que la prevención confiable es muy difícil. El borrado de su caché entre cada sitio web que visite debería funcionar, al igual que apagarlo por completo. Lamentablemente, estos métodos son arduos y afectarán negativamente su experiencia de navegación.

El agente secreto del complemento de Firefox evita el seguimiento por ETags, pero probablemente aumentará la huella digital de su navegador (o por la forma en que funciona, tal vez no).

Robo de historia

Ahora comenzamos a dar mucho miedo. El robo de historial (también conocido como snooping de historial) explota la forma en que está diseñada la Web, permitiendo que un sitio web que visite descubra su historial de navegación pasado.

El método más simple, que se conoce desde hace una década, se basa en el hecho de que los enlaces web cambian de color al hacer clic en ellos (tradicionalmente de azul a púrpura). Cuando se conecta a un sitio web, puede consultar su navegador a través de una serie de preguntas de sí / no a las que su navegador responderá fielmente, lo que le permitirá al atacante descubrir qué enlaces han cambiado de color y, por lo tanto, rastrear su historial de navegación.

A pesar de la renuencia a abordar esta falla de seguridad porque afecta la forma en que funciona el mundo, la mayoría de los navegadores modernos ahora brindan protección contra este ataque de robo de historial básico, pero otros ataques más sofisticados que dependen de diseños de página CSS y atributos de imagen permanecen en uso.

Usando el robo de Historia para identificarte de manera única

Ok, entonces un sitio web puede rastrear tu historial de navegación usando el robo de historial, pero no podría identificar quién eres, ¿verdad? Incorrecto. Mediante un proceso de identificación de huellas dactilares de identidad, mediante el cual un sitio web coincide con las páginas web que ha visitado con los grupos de redes sociales, tiene una alta probabilidad de identificarlo como un individuo único..

Considere: Casi todas las redes sociales (por ejemplo, Facebook) le permiten unirse a grupos de interés, y la mayoría de nosotros nos unimos a docenas de estos grupos, muchos de los cuales probablemente sean públicos. La lista de grupos públicos a los que te unes suele ser suficiente para darte una huella digital individual, que puede coincidir con tu perfil de red social. Si visita regularmente sitios web que se correlacionan con los intereses de su grupo de redes sociales, entonces es bastante fácil hacer coincidir su historial web robado con su perfil de red social.

Como dijimos, ¡da miedo! Además, desafortunadamente, no hay mucho que pueda hacer al respecto. * Incluso más que las supercookies "regulares", la industria de la web considera que el robo de historia no es ético, pero los intentos de establecer pautas de la industria voluntariamente autoimpuestas hasta ahora no han sido nada..

* Nota: Como ha observado la lectora Annie, eliminar el historial de navegación y las cookies también deberían restablecer los colores del enlace. Lo que evitará el robo de la historia. Por supuesto, a menos que elimine su historial de navegación, etc. después de cada página que visite, esta técnica probablemente podrá determinar mucho sobre su historial de navegación.

Conclusión

Efectivamente, hay una guerra de armas en curso entre los intereses comerciales de publicidad en Internet y el uso ordinario de Internet, y hay que decir que los intereses comerciales están ganando. Muchos ataques son ahora tan sofisticados y sutiles (la huella digital más notable del navegador y el robo del historial) que la prevención confiable es casi imposible, y ciertamente requiere un cierto esfuerzo, inconveniencia y conocimientos técnicos para hacer que incluso los más preocupados nos encojamos de hombros y demos arriba. Odiamos decirlo, pero tal vez la única respuesta esté en la legislación, o al menos en un código de conducta voluntario robusto y reconocido por la industria que desaliente a los sitios web más respetables a caer en este tipo de comportamiento..

Lo bueno de la situación es que, aunque lo rastrean, la mayoría de los métodos no lo identifican individualmente (incluso las huellas digitales de las redes sociales, aunque son poco efectivas, no son confiables), y si enmascara su dirección IP con una VPN (o Tor) entonces recorrerás un largo camino para disociar tu identidad real de tu comportamiento web rastreado.