Flere ting som går i natt: HTTP ET-merker, nettlagring og ‘historie stjeler’

I artiklene våre om Flash-informasjonskapsler og fingeravtrykk av nettlesere så vi på hvordan kommersielle internettselskaper, spesielt tredjepartsanalyser og annonseringsdomener, bruker stadig snikende og sofistikerte metoder for å unngå offentlig bevissthet om farene ved HTTP-informasjonskapsler, slik at de kan fortsette å identifisere og spore bevegelsene våre på nettet.


Mens Flash-informasjonskapsler (inkludert såkalte zombie-informasjonskapsler) og, i økende grad, fingeravtrykk av nettlesere, er de mest brukte metodene som brukes for å gjøre dette, er det andre. I denne artikkelen skal vi se på noen av disse, og diskutere hvordan de kan bli foliert.

HTML5 Nettlagring

En funksjon i HTML5 (den mye tilskuerne erstatningen til Flash) er nettlagring (også kjent som DOM (Document Object Model) lagring). Selv skummel og mye kraftigere enn informasjonskapsler, nettlagring er en måte analog med informasjonskapsler for lagring av data i en nettleser, men som er mye mer vedvarende, har mye større lagringskapasitet, og som normalt ikke kan overvåkes, leses eller selektivt fjernet fra nettleseren din.

I motsetning til vanlige HTTP-informasjonskapsler som inneholder 4 kB data, tillater nettlagring 5 MB per opprinnelse i Chrome, Firefox og Opera, og 10 MB i Internet Explorer. Nettsteder har mye større kontroll over nettlagring, og i motsetning til informasjonskapsler utløper ikke weblagring automatisk etter en viss tid (dvs. det er permanent som standard).

Da Ashkan Soltani og et team av forskere ved UC Berkeley gjennomførte en studie av websporing i 2011, fant de at av de 100 beste undersøkte nettstedene, brukte 17 nettlagring, inkludert twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com og cnn.com. De fleste av disse koblet til en tredjeparts analysetjeneste som Meebo, KISSanalytics eller Pollydaddy.

Hvordan stopper jeg det?

Nettlagring er ganske enkelt å slå av, men mange nettsteder (f.eks. CNN) vil ikke fungere ordentlig hvis du gjør det.

I Firefox:

  • Start Firefox og skriv om: config i adressefeltet
  • I Klikk ‘Jeg skal være forsiktig, det lover jeg!’
  • Bla nedover til du kommer til dom.storage.enabled eller kopier / lim inn ‘dom.storage.enabled’ i søkefeltet
  • Dobbeltklikk ‘dom.storage.enabled’, og den vil endres fra standardverdien ‘true’ til ‘falsk’

Firefox-brukere kan også konfigurere BetterPrivacy-tillegget for å fjerne nettlagring automatisk med jevne mellomrom, eller bruke Click&Rengjør addon.

I Internet Explorer:

  • Start Internet Explorer og åpne Verktøy-menyen
  • Velg "Alternativer for Internett"
  • Klikk på fanen ‘Avansert’
  • Rull ned til du kommer til 'Sikkerhet'
  • Fjern merket for "Aktiver DOM-lagring"
  • Klikk ‘Ok’

I Chrome:

Chrome-brukere kan bruke Click&Ren utvidelse eller alternativt den allsidige Google NotScripts-utvidelsen, men dette krever en høy grad av konfigurering.

I Safari og Opera:

Disse nettleserne bruker nettlagring, men så vidt vi vet er det ingen måte å slå den av.

Vær oppmerksom på at bruk av alle nettleserutvidelser øker sjansen for å gjøre nettleserens fingeravtrykk unikt.

HTTP ETags

ET-merker (eller entitet-koder, noen ganger referert til som ‘cookieless cookies’) er ‘del av HTTP, protokollen for World Wide Web’, hvis formål er å identifisere en spesifikk ressurs på en URL, og spore eventuelle endringer som blir gjort i den.

Metoden som disse ressursene sammenlignes med, gjør at de kan brukes som fingeravtrykk, ettersom serveren ganske enkelt gir hver nettleser en unik ETag, og når den kobles til igjen kan den slå ETAG opp i databasen.

Den første oppdagede bruken av ETags 'i naturen' som en sporingsmekanisme ble gjort av Ashkan Soltani og teamet hans, som fant ut at mediastreamingsnettstedet Hulu brukte en tjeneste som ble hostet av webanalyseselskapet KISSmetrics for å respawn (Zombie-stil) HTTP og HTML5 informasjonskapsler som bruker 'cachen for å speile verdier, spesifikt ETags.'

Rapporten bemerker at 'ETag-sporing og respawning er spesielt problematisk fordi teknikken genererer unike sporingsverdier, selv der forbrukeren blokkerer HTTP-, Flash- og HTML5-informasjonskapsler,' og 'selv i privat nettlesingsmodus, kan ETags spore brukeren under en nettleserøkt. .'

Kanskje enda verre, ‘ETag-respawning vi observerte satte en første festkake på hulu.com. Dette betyr at andre nettsteder som abonnerer på tjenesten kissmetrics.com kan synkronisere disse identifikatorene på tvers av domenene deres. '

Hvordan kan jeg stoppe dem?

Dessverre er denne typen cache sporing praktisk talt ikke påvisbar, så pålitelig forebygging er veldig vanskelig. Å tømme hurtigbufferen mellom hvert nettsted du besøker skal fungere, og det samme bør skru av cachen. Dessverre er disse metodene vanskelige, og vil påvirke nettleseropplevelsen negativt.

Firefox-tillegget Secret Agent forhindrer sporing av ETags, men vil sannsynligvis øke nettleserens fingeravtrykk (eller på grunn av måten det fungerer, kanskje ikke).

Historie stjeler

Nå begynner vi å bli skummelt. Historie stjele (også kjent som historien snooping) utnytter måten nettet er designet på, slik at et nettsted du besøker for å oppdage din tidligere nettleserhistorie.

Den enkleste metoden, som har vært kjent om i et tiår, er avhengig av at nettlenker endrer farge når du klikker på dem (tradisjonelt fra blått til lilla). Når du kobler til et nettsted, kan det spørres i nettleseren din gjennom en serie ja / nei-spørsmål som nettleseren din vil svare på, slik at angriperen kan oppdage hvilke lenker som har endret farge, og derfor spore nettleserloggen din.

Til tross for en motvilje mot å takle denne sikkerhetsfeilen fordi den påvirker måten World Wide fungerer på, gir de fleste moderne nettlesere nå beskyttelse mot dette grunnleggende historien som stjeler angrep, men andre mer sofistikerte angrep som er avhengige av CSS-sideoppsett og bildeattributter er fortsatt i bruk.

Bruk historie for å stjele for å identifisere deg på en unik måte

OK, så et nettsted kan spore nettleserloggen din ved hjelp av historiestjeling, men den kunne umulig identifisere hvem du er, ikke sant? Feil. Ved å bruke en prosess med identitetsfingeravtrykk, der et nettsted samsvarer med websidene du har besøkt i sosiale nettverksgrupper, har det en stor sjanse for å identifisere deg som et unikt individ.

Tenk på: Nesten alle sosiale nettverk (f.eks. Facebook) lar deg bli med i interessegrupper, og de fleste av oss blir med flere titalls av disse gruppene, hvorav mange sannsynligvis vil være offentlige. Listen over offentlige grupper du blir med er ofte nok til å gi deg et individuelt fingeravtrykk, som kan tilpasses din sosiale nettverksprofil. Hvis du regelmessig besøker nettsteder som samsvarer med interessene dine i det sosiale nettverket, er det en ganske enkel sak å matche den stjålne nettloggen til profilen din på det sosiale nettverket..

Som vi sa, skummelt! Dessverre er det dessverre ikke så mye du kan gjøre med det. * Enda mer enn ‘vanlige’ superkokekaker anser nettbransjen historien som stjeler for å være uetisk, men forsøk på å etablere frivillige selvpålagte bransjeretningslinjer har så langt kommet til ingenting.

* Merk: Som leseren Annie har observert, bør sletting av nettleserhistorikk og informasjonskapsler også tilbakestille koblingsfarger. Noe som vil forhindre stjeling av historien. Selvfølgelig, med mindre du sletter nettleserloggen osv. Etter hver eneste side du besøker, vil denne teknikken sannsynligvis fortsatt kunne bestemme mye om nettleserhistorikken din.

Konklusjon

Det er effektivt en pågående våpenskrig mellom kommersielle interesser for internettreklame og det vanlige internett ved bruk av offentlige, og det må sies at kommersielle interesser vinner. Mange angrep er nå så sofistikerte og subtile (mest bemerkelsesverdige nettleserfingerutskrift og historiestjeling) at pålitelig forebygging er nesten umulig, og absolutt tar en viss innsats, ulempe og teknisk kunnskap for å gjøre at selv de mest bekymrede av oss trekker på skuldrene og gir opp. Vi hater å si det, men kanskje det eneste svaret ligger i lovgivning, eller i det minste en robust bransjeanerkjent frivillig adferdskode som vil avskrekke mer respektable nettsteder fra å hengi seg til denne typen oppførsel.

Det eneste med situasjonen er at selv om de sporer deg, identifiserer de fleste metoder deg ikke individuelt (selv fingeravtrykk på sosialt nettverk, selv om det er skremmende effektivt, er ikke pålitelig), og hvis du maskerer IP-adressen din med en VPN (eller Tor) så vil du gjøre et langt stykke for å koble din reelle identitet fra sporet nettoppførsel.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me