Flere ting, der går uheldige om natten: HTTP ETags, Web Storage og ‘history stealing’

I vores artikler om Flash-cookies og browserfingeraftryk så vi på, hvordan kommercielle internetfirmaer, især tredjepartsanalyse og reklamedomæner, bruger stadig mere luske og sofistikerede metoder for at undgå offentlighedens opmærksomhed om farerne ved HTTP-cookies, så de kan fortsætte med at identificere unikt og spore vores bevægelser på nettet.

Mens Flash-cookies (inklusive såkaldte zombie-cookies) og i stigende grad browserfingeraftryk er de mest anvendte metoder, der bruges til at gøre dette, er der andre. I denne artikel skal vi se på nogle af disse og diskutere, hvordan de kan blive folieret.

HTML5 Web Storage

En funktion i HTML5 (den meget hævede erstatning til Flash) er weblagring (også kendt som DOM (Document Object Model) storage). Endda creepier og meget mere kraftfuld end cookies, weblagring er en måde, der er analog til cookies til lagring af data i en webbrowser, men som er meget mere vedvarende, har en meget større lagerkapacitet, og som normalt ikke kan overvåges, læses eller selektivt fjernet fra din webbrowser.

I modsætning til almindelige HTTP-cookies, der indeholder 4 kB data, tillader weblagring 5 MB pr. Oprindelse i Chrome, Firefox og Opera og 10 MB i Internet Explorer. Websteder har et meget større kontrolniveau over weblagring, og i modsætning til cookies udløber weblagring ikke automatisk efter et vist tidsrum (dvs. det er permanent som standard).

Da Ashkan Soltani og et team af forskere ved UC Berkeley udførte en undersøgelse af websporing i 2011, fandt de, at af de 100 mest undersøgte websteder, anvendte 17 weblagring, inklusive twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com og cnn.com. De fleste af disse har forbindelse til en tredjepartsanalytikatjeneste som Meebo, KISSanalytics eller Pollydaddy.

Hvordan stopper jeg det?

Weblagring er ret let at slukke for, men mange steder (f.eks. CNN) fungerer ikke ordentligt, hvis du gør det.

I Firefox:

  • Start Firefox, og skriv om: config i adresselinjen
  • I Klik på 'Jeg skal være forsigtig, det lover jeg!'
  • Rul ned, indtil du når dom.storage.enabled eller kopier / indsæt ‘dom.storage.enabled’ i søgefeltet
  • Dobbeltklik på 'dom.storage.enabled', og det ændres fra dens standardværdi 'sand' til 'falsk'

Firefox-brugere kan også konfigurere BetterPrivacy-tilføjelsen til automatisk at fjerne weblagring regelmæssigt eller bruge Click&Rens addon.

I Internet Explorer:

  • Start Internet Explorer, og åbn menuen Funktioner
  • Vælg 'Internetindstillinger'
  • Klik på fanen 'Avanceret'
  • Rul ned, indtil du når 'Sikkerhed'
  • Fjern markeringen i afkrydsningsfeltet for 'Aktivér DOM Storage'
  • Klik på 'Ok'

I Chrome:

Chrome-brugere kan bruge Click&Ren udvidelse eller alternativt den alsidige Google NotScripts-udvidelse, men dette kræver en høj grad af konfigurering.

I Safari og Opera:

Disse browsere bruger weblagring, men så vidt vi ved, er der ingen måde at slå den fra.

Bemærk, at brugen af ​​enhver browserudvidelse øger chancen for at gøre browserens fingeraftryk unikt.

HTTP ETags

ET-mærker (eller entitetskoder, sommetider benævnt 'cookieless cookies') er 'en del af HTTP, protokollen til World Wide Web', hvis formål er at identificere en bestemt ressource på en URL og spore eventuelle ændringer der er foretaget.

Metoden, som disse ressourcer sammenlignes med, giver dem mulighed for at blive brugt som fingeraftryk, da serveren simpelthen giver hver browser en unik ETag, og når den opretter forbindelse igen, kan den slå ETAG op i sin database.

Den første opdagede brug af ETags 'i naturen' som en sporingsmekanisme blev foretaget af Ashkan Soltani og hans team, der fandt ud af, at mediestreaming-webstedet Hulu brugte en service, der blev hostet af webanalysefirmaet KISSmetrics, til at respawn (Zombie-stil) HTTP og HTML5 cookies ved hjælp af 'cachen til spejling af værdier, specifikt ETags.'

Rapporten bemærker, at 'ETag-tracking og respawning er særlig problematisk, fordi teknikken genererer unikke sporingsværdier, selv hvor forbrugeren blokerer HTTP-, Flash- og HTML5-cookies,' og 'selv i privat browsing-tilstand, kan ETags spore brugeren under en browsersession .'

Måske endnu værre, ‘ETag-respawning, vi observerede, satte en cookie fra førstepartiet på hulu.com. Dette betyder, at andre websteder, der abonnerer på tjenesten kissmetrics.com, kunne synkronisere disse identifikatorer på tværs af deres domæner. '

Hvordan kan jeg stoppe dem?

Desværre er denne form for cache-tracking næsten ikke detekterbar, så pålidelig forebyggelse er meget hård. At rydde din cache mellem hvert websted, du besøger, skal fungere, ligesom det også skal slukke din cache. Desværre er disse metoder vanskelige og vil have negativ indflydelse på din browseroplevelse.

Firefox-tilføjelsen Secret Agent forhindrer sporing af ETags, men vil sandsynligvis øge din browserfingeraftryk (eller på grund af den måde, det fungerer, måske ikke).

Historie stjæler

Nu begynder vi at blive virkelig skræmmende. Historie stjæle (også kendt som historie snooping) udnytter den måde, hvorpå internettet er designet, hvilket giver et websted, du besøger, for at opdage din tidligere browserhistorie.

Den enkleste metode, der har været kendt for i et årti, er afhængig af det faktum, at weblinkene ændrer farve, når du klikker på dem (traditionelt fra blå til lilla). Når du opretter forbindelse til et websted, kan det forespørge din browser gennem en række ja / nej-spørgsmål, som din browser trofast reagerer på, hvilket giver angriberen mulighed for at opdage, hvilke links der har ændret farve, og derfor at spore din browserhistorik.

På trods af en modvilje mod at tackle denne sikkerhedsfejl, fordi den påvirker den måde, hvorpå World Wide fungerer, giver de fleste moderne browsere nu beskyttelse mod dette grundlæggende historie, der stjæler angreb, men andre mere sofistikerede angreb, der er afhængige af CSS-sidelayout og billedattributter, er stadig i brug.

Brug historie til at stjæle for at identificere dig unikt

Okay, så et websted kan spore din browserhistorik ved hjælp af historiestjælkning, men det kunne muligvis ikke identificere, hvem du er, ikke? Forkert. Ved hjælp af en identitetsfingeraftryksproces, hvor et websted matcher de websider, du har besøgt i sociale netværksgrupper, har det en stor chance for at identificere dig som et unikt individ.

Overvej: Næsten alle sociale netværk (f.eks. Facebook) giver dig mulighed for at tilslutte sig interessegrupper, og de fleste af os slutter sig til snesevis af disse grupper, hvoraf mange sandsynligvis er offentlige. Listen over offentlige grupper, du tilmelder dig, er ofte nok til at give dig et individuelt fingeraftryk, der kan tilpasses din sociale netværksprofil. Hvis du regelmæssigt besøger websteder, der hænger sammen med dine interesser i det sociale netværk, er det en ret nem sag at matche din stjålne webhistorik til din sociale netværksprofil.

Som vi sagde, skræmmende! Desværre er der ikke meget, du kan gøre ved det. * Selv mere end 'almindelige' supercookies anser webindustrien, at historien stjæler som uetisk, men forsøg på at etablere frivilligt selvpålagte industrielle retningslinjer er indtil videre intet..

* Bemærk: Som læseren Annie har observeret, bør sletning af din browserhistorik og cookies også nulstille linkfarver. Hvilket vil forhindre, at historien stjæler. Medmindre du sletter din browserhistorik osv. Efter hver eneste side, du besøger, vil denne teknik stadig sandsynligvis være i stand til at bestemme en hel del om din browsningshistorik.

Konklusion

Der er faktisk en løbende våbenkrig mellem kommercielle internetreklameinteresser og det almindelige internet ved hjælp af offentligheden, og det må siges, at kommercielle interesser vinder. Mange angreb er nu så sofistikerede og subtile (mest bemærkelsesværdige browserfingerudskrivning og historiestjælkning), at pålidelig forebyggelse er næsten umulig, og bestemt kræver en vis indsats, besvær og teknisk knowhow for at få selv de mest bekymrede over os til at trække skuldrene og give op. Vi hader at sige det, men måske ligger det eneste svar i lovgivning, eller i det mindste en robust branche anerkendt frivillig adfærdskodeks, der vil afskrække mere respektable websteder fra at hengive sig til denne form for opførsel.

Den eneste gode ting ved situationen er, at selv om de sporer dig, identificerer de fleste metoder dig ikke individuelt (selv fingeraftryk på socialt netværk, selvom det er skræmmende effektivt, er ikke pålideligt), og hvis du maskerer din IP-adresse med en VPN (eller Tor) så vil du gå langt for at adskille din reelle identitet fra din sporede webadfærd.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me