Další věci, které v noci naráží: HTTP ETag, webové úložiště a „ukradnutí historie“

V našich článcích o souborech cookie Flash a otiscích prstů v prohlížeči jsme se zaměřili na to, jak komerční internetové společnosti, zejména analytické a reklamní domény třetích stran, používají stále propálenější a sofistikované metody k tomu, aby se vyhnuly povědomí veřejnosti o nebezpečích souborů cookie HTTP, takže mohou nadále jednoznačně identifikovat a sledovat naše pohyby po webu.


Zatímco soubory cookie Flash (včetně tzv. Zombie cookies) a stále více, otisk prstu prohlížeče, jsou nejčastěji používanými metodami používanými k tomu, existují i ​​jiné. V tomto článku se podíváme na některé z nich a diskutujeme, jak mohou být zmateny.

Webové úložiště HTML5

Funkce HTML5 (tolik vychvalovaná náhrada Flash) je webové úložiště (známé také jako úložiště DOM (Document Object Model)). Webové úložiště, které je ještě složitější a mnohem výkonnější než soubory cookie, je obdobou souborů cookie pro ukládání dat ve webovém prohlížeči, ale je mnohem perzistentnější, má mnohem větší úložnou kapacitu a nelze jej normálně sledovat, číst ani selektivně odstraněno z vašeho webového prohlížeče.

Na rozdíl od běžných souborů cookie HTTP, které obsahují 4 kB dat, umožňuje webové úložiště v prohlížeči Chrome, Firefox a Opera 5 MB na původ a 10 MB v prohlížeči Internet Explorer. Webové stránky mají mnohem větší úroveň kontroly nad webovým úložištěm a na rozdíl od cookies webové úložiště automaticky nevyprší po určité době (tj. Ve výchozím nastavení je trvalé)..

Když Ashkan Soltani a tým vědců z UC Berkeley provedli v roce 2011 studii sledování webu, zjistili, že ze 100 nejlepších zkoumaných webů, 17 použilo webové úložiště, včetně twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com a cnn.com. Většina z nich byla napojena na analytické služby třetích stran, jako jsou Meebo, KISSanalytics nebo Pollydaddy..

Jak to zastavím?

Vypnutí webového úložiště je poměrně snadné, ale mnoho webů (např. CNN) nebude fungovat správně, pokud tak učiníte.

V prohlížeči Firefox:

  • Spusťte Firefox a do adresního řádku napište about: config
  • V Click "Budu opatrný, slibuji!"
  • Přejděte dolů, dokud se nedostanete na dom.storage.enabled nebo zkopírujte / vložte „dom.storage.enabled“ do vyhledávacího pole.
  • Poklepejte na „dom.storage.enabled“ a změní se z výchozí hodnoty „true“ na „false“

Uživatelé prohlížeče Firefox mohou také nakonfigurovat doplněk BetterPrivacy tak, aby pravidelně odstraňoval webové úložiště, nebo použít kliknutí&Čistý addon.

V prohlížeči Internet Explorer:

  • Spusťte aplikaci Internet Explorer a otevřete nabídku Nástroje
  • Vyberte možnost „Možnosti Internetu“
  • Klikněte na kartu „Upřesnit“
  • Přejděte dolů, dokud nedosáhnete „Zabezpečení“.
  • Zrušte zaškrtnutí políčka Povolit úložiště DOM.
  • Klikněte na tlačítko „OK“

V prohlížeči Chrome:

Uživatelé prohlížeče Chrome mohou kliknout&Čisté rozšíření nebo alternativně univerzální rozšíření Google NotScripts, to však vyžaduje vysoký stupeň konfigurace.

V prohlížeči Safari a Opera:

Tyto prohlížeče používají webové úložiště, ale pokud víme, neexistuje způsob, jak jej vypnout.

Uvědomte si, že použití libovolného rozšíření prohlížeče zvyšuje pravděpodobnost, že bude otisk prstu jedinečný.

HTTP ETags

ETagy (nebo značky entit, někdy označované jako „Cookie Cookies“) jsou „součástí HTTP, protokolu pro World Wide Web“, jehož účelem je identifikovat konkrétní zdroj na adrese URL a sledovat jakékoli změny, které v něm byly provedeny..

Způsob, kterým jsou tyto zdroje porovnány, umožňuje jejich použití jako otisky prstů, protože server jednoduše dává každému prohlížeči jedinečný ETag, a když se znovu připojí, může vypadat ETag ve své databázi..

První objevené použití ETagů „ve volné přírodě“ jako sledovacího mechanismu bylo provedeno Ashkanem Soltanim a jeho týmem, který zjistil, že webový server pro streamování médií Hulu používal službu hostovanou webovou analytickou společností KISSmetrics k respawn (Zombieho stylu) HTTP a HTML5 cookies používající „mezipaměť pro zrcadlení hodnot, konkrétně ETags“.

Zpráva uvádí, že „sledování a respawnování ETag je obzvláště problematické, protože tato technika generuje jedinečné hodnoty sledování, i když spotřebitel blokuje soubory cookie HTTP, Flash a HTML5“, a dokonce i v režimu soukromého prohlížení může ETag sledovat uživatele během relace prohlížeče. . “

Možná ještě horší je, že ETag respawning, který jsme pozorovali, nastavil první soubor cookie na hulu.com. To znamená, že další weby, které se účastní služby kissmetrics.com, by mohly tyto identifikátory synchronizovat ve svých doménách. “

Jak je mohu zastavit?

Bohužel tento druh sledování mezipaměti je prakticky nedetekovatelný, takže spolehlivá prevence je velmi obtížná. Vymazání mezipaměti mezi každým navštíveným webem by mělo fungovat, stejně jako by se měla mezipaměť úplně vypnout. Tyto metody bohužel jsou namáhavé a negativně ovlivní vaše prohlížení.

Doplňkový tajný agent Firefox zabraňuje sledování pomocí ETagů, ale pravděpodobně zvýší otisk prstu vašeho prohlížeče (nebo kvůli způsobu, jakým to funguje, možná ne).

Historie krást

Teď začneme být opravdu děsiví. Ukradnutí historie (známé také jako snooping historie) využívá způsob, jakým je web navržen, a umožňuje navštíveným webům objevit vaši minulou historii prohlížení.

Nejjednodušší metoda, která je známá již deset let, spočívá v tom, že webové odkazy změní barvu, když na ně kliknete (tradičně z modré na fialovou). Když se připojíte k webové stránce, může váš prohlížeč dotazovat pomocí řady otázek ano / ne, na které váš prohlížeč bude věrně reagovat, což útočníkovi umožní zjistit, které odkazy změnily barvu, a proto sledovat vaši historii prohlížení.

Navzdory neochotě řešit tuto bezpečnostní chybu, protože to ovlivňuje způsob, jakým funguje World Wide, většina moderních prohlížečů nyní poskytuje ochranu před tímto základním útokem na krádež historie, ale další sofistikovanější útoky, které se spoléhají na rozvržení stránky CSS a atributy obrázků, se nadále používají..

Pomocí historie krádeže vás jedinečně identifikují

Dobře, takže web může sledovat vaši historii prohlížení pomocí krádeže historie, ale nemohl by určit, kdo jste, že? Špatně. Pomocí procesu otisku prstu identity, kdy web odpovídá webovým stránkám, které jste navštívili ve skupinách sociálních sítí, má vysokou šanci, aby vás identifikovaly jako jedinečného jednotlivce..

Zvažte: Téměř všechny sociální sítě (např. Facebook) vám umožňují připojit se k zájmovým skupinám a většina z nás se připojuje k desítkám těchto skupin, z nichž mnohé jsou pravděpodobně veřejné. Seznam veřejných skupin, ke kterým se připojujete, je často dostačující k tomu, aby vám poskytl individuální otisk prstu, který lze přizpůsobit vašemu profilu v sociální síti. Pokud pravidelně navštěvujete webové stránky, které korelují se zájmy vaší skupiny sociálních sítí, je poměrně snadné přizpůsobit ukradenou webovou historii profilu vaší sociální sítě..

Jak jsme řekli, děsivý! Bohužel s tím bohužel nemůžete udělat nic. * Webový průmysl dokonce považuje více než „pravidelné“ supercookies za neetické, ale pokusy zavést dobrovolně zavedené pokyny pro průmysl se doposud k ničemu nedostaly.

* Poznámka: Jak čtenářka Annie zjistila, smazání historie prohlížení a souborů cookie by také mělo resetovat barvy odkazů. Což zabrání krádeži historie. Samozřejmě, pokud neodstraníte historii prohlížení atd. Po každé jednotlivé navštívené stránce, bude tato technika stále pravděpodobně schopna určit hodně o vaší historii prohlížení.

Závěr

Mezi zájmy komerční reklamy na internetu a obyčejným internetem využívajícím veřejnost běžně probíhá boj o zbrojení a je třeba říci, že obchodní zájmy vyhrávají. Mnoho útoků je nyní tak sofistikovaných a důvtipných (nejpozoruhodnější tisk prstů prohlížeče a historie krádeže), že spolehlivá prevence je téměř nemožná, a určitě vyžaduje určitou námahu, nepohodlí a technické know-how, aby i ty, kterých se to týká, pokrčily rameny a dávaly nahoru. Nerad to říkáme, ale možná jediná odpověď spočívá v legislativě nebo přinejmenším v robustním průmyslově uznávaném dobrovolném kodexu chování, který bude odrazovat od slušnějších webů k tomu, aby se dopouštěli tohoto chování..

Jedna dobrá věc o situaci je, že ačkoli vás sledují, většina metod vás neidentifikuje (dokonce otisky prstů na sociálních sítích, i když jsou velmi efektivní, nejsou spolehlivé), a pokud maskujete svou IP adresu VPN (nebo Tor) pak budete mít dlouhou cestu k oddělení vaší skutečné identity od sledovaného webového chování.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me