Altre cose che vanno a sbattere di notte: ETags HTTP, Web Storage e “rubare la storia”

Nei nostri articoli su cookie Flash e impronte digitali del browser abbiamo esaminato come le società commerciali di Internet, in particolare i settori di analisi e di pubblicità di terze parti, stanno usando metodi sempre più subdoli e sofisticati per sfuggire alla consapevolezza del pubblico sui pericoli dei cookie HTTP, in modo che possano continuare a identificare in modo univoco e traccia i nostri movimenti sul Web.

Mentre i cookie Flash (compresi i cosiddetti cookie zombie) e, sempre più, l'impronta digitale del browser, sono i metodi più comunemente usati per farlo, ce ne sono altri. In questo articolo esamineremo alcuni di questi e discuteremo di come potrebbero essere sventati.

Archiviazione Web HTML5

Una caratteristica di HTML5 (la tanto decantata sostituzione di Flash) è l'archiviazione Web (nota anche come archiviazione DOM (Document Object Model)). Ancora più inquietante e molto più potente dei cookie, l'archiviazione Web è un modo analogo ai cookie di memorizzazione dei dati in un browser Web, ma che è molto più persistente, ha una capacità di archiviazione molto maggiore e che normalmente non può essere monitorata, letta o selettivamente rimosso dal tuo browser web.

A differenza dei normali cookie HTTP che contengono 4 kB di dati, l'archiviazione Web consente 5 MB per origine in Chrome, Firefox e Opera e 10 MB in Internet Explorer. I siti Web hanno un livello di controllo molto maggiore sull'archiviazione Web e, a differenza dei cookie, l'archiviazione Web non scade automaticamente dopo un certo periodo di tempo (ovvero è permanente per impostazione predefinita).

Quando nel 2011 Ashkan Soltani e un team di ricercatori della UC Berkeley hanno condotto uno studio sul web tracking, hanno scoperto che tra i 100 siti Web top intervistati, 17 utilizzavano l'archiviazione web, tra cui twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com e cnn.com. La maggior parte di questi sono collegati a un servizio di analisi di terze parti come Meebo, KISSanalytics o Pollydaddy.

Come posso fermarlo?

L'archiviazione Web è abbastanza facile da disattivare, ma molti siti (ad es. CNN) non funzioneranno correttamente se lo fai.

In Firefox:

  • Avvia Firefox e digita about: config nella barra degli indirizzi
  • In Click "Starò attento, lo prometto!"
  • Scorri verso il basso fino a raggiungere dom.storage.enabled o copia / incolla "dom.storage.enabled" nella barra di ricerca
  • Fai doppio clic su "dom.storage.enabled" e cambierà dal suo valore predefinito "vero" a "falso"

Gli utenti di Firefox possono anche configurare il componente aggiuntivo BetterPrivacy per rimuovere automaticamente l'archiviazione Web su base regolare o utilizzare il clic&Addon pulito.

In Internet Explorer:

  • Avviare Internet Explorer e aprire il menu Strumenti
  • Seleziona "Opzioni Internet"
  • Fai clic sulla scheda "Avanzate"
  • Scorri verso il basso fino a raggiungere "Sicurezza"
  • Deseleziona la casella "Abilita archiviazione DOM"
  • Fai clic su "Ok"

In Chrome:

Gli utenti di Chrome possono utilizzare il clic&Estensione pulita o, in alternativa, l'estensione versatile di Google NotScripts, ma ciò richiede un alto grado di configurazione.

In Safari e Opera:

Questi browser utilizzano l'archiviazione Web, ma per quanto ne sappiamo non è possibile disattivarlo.

Si noti che l'uso di qualsiasi estensione del browser aumenta la possibilità di rendere unica l'impronta digitale del browser.

ETag HTTP

Gli ETag (o tag entità, a volte indicati come "cookie senza cookie") sono "parte di HTTP, il protocollo per il World Wide Web" il cui scopo è identificare una risorsa specifica in un URL e tenere traccia di tutte le modifiche apportate ad esso.

Il metodo con cui vengono confrontate queste risorse consente di utilizzarle come impronte digitali, poiché il server fornisce semplicemente a ciascun browser un ETag univoco e quando si ricollega può cercare l'ETag nel suo database.

Il primo uso scoperto di ETags "in the wild" come meccanismo di tracciamento è stato fatto da Ashkan Soltani e dal suo team, i quali hanno scoperto che il sito web di streaming multimediale Hulu stava usando un servizio ospitato dalla società di analisi web KISSmetrics per rigenerare (stile Zombie) HTTP e HTML5 cookie che utilizzano "la cache per rispecchiare i valori, in particolare ETags".

Il rapporto rileva che "il tracciamento e la rigenerazione di ETag è particolarmente problematico perché la tecnica genera valori di tracciamento univoci anche quando il consumatore blocca i cookie HTTP, Flash e HTML5" e "anche in modalità di navigazione privata, ETags può tracciare l'utente durante una sessione del browser .'

Forse anche peggio ", la rigenerazione di ETag che abbiamo osservato ha impostato un cookie di prima parte su hulu.com. Ciò significa che altri siti che si abbonano al servizio kissmetrics.com potrebbero sincronizzare questi identificatori nei loro domini. "

Come posso fermarli?

Sfortunatamente questo tipo di tracciamento della cache è praticamente non rilevabile, quindi una prevenzione affidabile è molto difficile. Lo svuotamento della cache tra ogni sito Web visitato dovrebbe funzionare, così come la disattivazione totale della cache. Sfortunatamente questi metodi sono ardui e avranno un impatto negativo sulla tua esperienza di navigazione.

Il componente aggiuntivo Secret Agent di Firefox impedisce il tracciamento tramite ETags, ma probabilmente aumenterà l'impronta digitale del browser (o a causa del modo in cui funziona, forse no).

La storia ruba

Ora iniziamo a diventare davvero spaventosi. Il furto di cronologia (noto anche come snooping della storia) sfrutta il modo in cui il Web è progettato, consentendo a un sito Web visitato di scoprire la cronologia di navigazione passata.

Il metodo più semplice, noto da circa un decennio, si basa sul fatto che i collegamenti Web cambiano colore quando si fa clic su di essi (tradizionalmente dal blu al viola). Quando ti colleghi a un sito Web, puoi interrogare il tuo browser attraverso una serie di domande sì / no a cui il tuo browser risponderà fedelmente, permettendo all'aggressore di scoprire quali collegamenti hanno cambiato colore e quindi di tracciare la tua cronologia di navigazione.

Nonostante la riluttanza ad affrontare questo difetto di sicurezza perché influenza il modo in cui funziona il World Wide, i browser più moderni ora offrono protezione contro questa storia di base rubando attacchi, ma restano in uso altri attacchi più sofisticati che si basano su layout di pagina CSS e attributi di immagine.

Usare la storia rubando per identificarti in modo univoco

Ok, quindi un sito web può tracciare la tua cronologia di navigazione usando il furto di cronologia, ma non è possibile identificare chi sei, giusto? Sbagliato. Utilizzando un processo di identificazione delle impronte digitali dell'identità, in base al quale un sito Web corrisponde alle pagine Web visitate ai gruppi di social network, ha un'alta probabilità di identificarti come un individuo unico.

Considera: quasi tutti i social network (ad esempio Facebook) ti consentono di unirti a gruppi di interesse e la maggior parte di noi si unisce a decine di questi gruppi, molti dei quali sono probabilmente pubblici. L'elenco dei gruppi pubblici a cui ti iscrivi è spesso sufficiente per darti un'impronta digitale individuale, che può essere abbinata al tuo profilo di social network. Se visiti regolarmente siti Web correlati agli interessi del tuo gruppo di social network, è abbastanza facile abbinare la tua cronologia web rubata al tuo profilo di social network.

Come abbiamo detto, spaventoso! Inoltre, sfortunatamente, non c'è molto che tu possa fare al riguardo. * Anche più dei "normali" supercookies, l'industria web considera la storia rubare non etica, ma i tentativi di stabilire linee guida settoriali volontariamente autoimposte non sono finora arrivati ​​a nulla.

* Nota: come ha osservato la lettore Annie, l'eliminazione della cronologia di navigazione e dei cookie dovrebbe anche ripristinare i colori dei collegamenti. Ciò impedirà il furto della storia. Naturalmente, a meno che tu non elimini la tua cronologia di navigazione ecc. Dopo ogni singola pagina che visiti, questa tecnica sarà probabilmente in grado di determinare molto sulla tua cronologia di navigazione.

Conclusione

Esiste effettivamente una guerra d'armi in corso tra gli interessi della pubblicità su Internet commerciale e l'internet comune che utilizza il pubblico e bisogna dire che gli interessi commerciali stanno vincendo. Molti attacchi sono ora così sofisticati e impercettibili (la più notevole impronta digitale del browser e il furto della storia) che una prevenzione affidabile è quasi impossibile, e certamente richiede un certo sforzo, disagio e know-how tecnico per far scrollare le spalle anche i più preoccupati di noi e dare su. Odiamo dirlo, ma forse l'unica risposta sta nella legislazione, o almeno in un solido codice di condotta volontario riconosciuto dall'industria che scoraggerà i siti Web più rispettabili dall'indulgere in questo tipo di comportamento.

L'unica cosa positiva della situazione è che, sebbene ti seguano, la maggior parte dei metodi non ti identifica individualmente (anche l'impronta digitale dei social network, sebbene scarsamente efficace, non è affidabile) e se mascheri il tuo indirizzo IP con una VPN (o Tor) quindi farai molta strada per dissociare la tua vera identità dal tuo comportamento web monitorato.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me