المزيد من الأشياء التي تتعثر في الليل: HTTP ETags و Web Storage و “سرقة السجل”

في مقالاتنا حول ملفات تعريف ارتباط الفلاش وبصمات المتصفح ، نظرنا في كيفية استخدام شركات الإنترنت التجارية ، وخاصةً تحليلات الطرف الثالث ومجالات الإعلان ، لأساليب متطورة ومتطورة على نحو متزايد للتهرب من الوعي العام بمخاطر ملفات تعريف ارتباط HTTP ، حتى يتمكنوا من الاستمرار في التعرف بشكل فريد وتتبع تحركاتنا عبر الويب.

في حين أن ملفات تعريف الارتباط الفلاش (بما في ذلك ما يسمى بملفات تعريف الارتباط zombie) ، وبصورة متزايدة بصمة المتصفح ، هي الطرق الأكثر استخدامًا للقيام بذلك ، هناك طرق أخرى. في هذه المقالة سوف نلقي نظرة على بعض هذه الأشياء ، وسنناقش كيف يمكن إحباطها.

HTML5 تخزين الويب

من ميزات HTML5 (الاستعاضة عن الفلاش إلى حد كبير) هي تخزين الويب (المعروف أيضًا باسم تخزين DOM (طراز كائن المستند)). تعد تخزين الويب ، حتى أكثر زحفًا وأقوى بكثير من ملفات تعريف الارتباط ، طريقة مشابهة لملفات تعريف الارتباط لتخزين البيانات في مستعرض ويب ، ولكنها أكثر ثباتًا ، ولها سعة تخزين أكبر بكثير ، ولا يمكن مراقبتها أو قراءتها أو انتقائياً تمت إزالته من متصفح الويب الخاص بك.

على عكس ملفات تعريف الارتباط HTTP المعتادة التي تحتوي على 4 كيلوبايت من البيانات ، تتيح سعة تخزين الويب 5 ميغابايت لكل أصل في Chrome و Firefox و Opera و 10 ميغابايت في Internet Explorer. تتمتع مواقع الويب بمستوى أكبر من التحكم في تخزين الويب ، وعلى عكس ملفات تعريف الارتباط ، لا تنتهي صلاحية تخزين الويب تلقائيًا بعد فترة زمنية معينة (أي أنه دائم بشكل افتراضي).

عندما أجرى أشكان سلطاني وفريق من الباحثين في جامعة كاليفورنيا في بيركلي دراسة لتتبع الويب في عام 2011 ، وجدوا أن من بين أفضل 100 موقع على الويب تم مسحها ، و 17 تخزينًا إلكترونيًا على الويب ، بما في ذلك twitter.com و tmz.com و squidoo.com و nytimes .com و hulu.com و foxnews.com و cnn.com. يتم ربط معظم هذه الخدمات بخدمة تحليلات تابعة لجهات خارجية مثل ميبو أو كيساناليتيكس أو بوليدادي.

كيف يمكنني التوقف عن ذلك?

من السهل جدًا إيقاف تشغيل التخزين على الويب ، لكن العديد من المواقع (مثل CNN) لن تعمل بشكل صحيح إذا قمت بذلك.

في Firefox:

  • قم بتشغيل Firefox واكتب حول: config في شريط العناوين
  • في انقر "سأكون حذراً ، أعدك!"
  • قم بالتمرير لأسفل حتى تصل إلى dom.storage.enabled أو انسخ / الصق "dom.storage.enabled" في شريط البحث
  • انقر نقرًا مزدوجًا فوق "dom.storage.enabled" ، وسوف يتغير من القيمة الافتراضية "صواب" إلى "خطأ"

يمكن لمستخدمي Firefox أيضًا تكوين ملحق BetterPrivacy لإزالة تخزين الويب تلقائيًا على أساس منتظم ، أو استخدام النقر&الملحق نظيفة.

في برنامج Internet Explorer:

  • قم بتشغيل Internet Explorer وافتح قائمة الأدوات
  • اختر "خيارات الإنترنت"
  • انقر فوق علامة التبويب "خيارات متقدمة"
  • قم بالتمرير لأسفل حتى تصل إلى "الأمان"
  • ألغ تحديد المربع لـ "تمكين تخزين DOM"
  • انقر فوق موافق'

في Chrome:

يمكن لمستخدمي Chrome استخدام النقر&التمديد النظيف أو ، بدلاً من ذلك ، امتداد Google NotScripts متعدد الاستخدامات ، ولكن هذا يتطلب درجة عالية من التكوين.

في Safari و Opera:

تستخدم هذه المتصفحات مساحة تخزين على الويب ، لكن بقدر علمنا ، لا توجد طريقة لإيقافها.

لاحظ أن استخدام أي امتداد للمتصفح يزيد من فرصة جعل بصمة المتصفح فريدة من نوعها.

HTTP etags

تعتبر علامات العلامات (أو علامات الكيان ، والتي يشار إليها أحيانًا باسم "ملفات تعريف الارتباط التي لا تحتاج إلى ملفات تعريف الارتباط") "جزءًا من HTTP ، بروتوكول شبكة الويب العالمية" World Wide Web "الذي يهدف إلى تحديد مورد محدد على عنوان URL ، وتتبع أي تغييرات تم إجراؤها عليه.

تسمح الطريقة التي تتم بها مقارنة هذه الموارد باستخدامها كبصمات أصابع ، لأن الخادم يمنح كل مستعرض ETag فريدًا ، وعندما يتصل مرة أخرى ، يمكنه البحث عن ETag في قاعدة بياناته.

أول استخدام تم اكتشافه لـ ETags 'in the wild' كآلية تتبع قام به أشكان سلطاني وفريقه ، الذين وجدوا أن موقع دفق الوسائط Hulu كان يستخدم خدمة تستضيفها شركة تحليلات الويب KISSmetrics لتفسير بروتوكول HTTP و HTML5. ملفات تعريف الارتباط باستخدام "ذاكرة التخزين المؤقت لعكس القيم ، وتحديداً ETags."

يشير التقرير إلى أن "تتبع ETag و respawning يمثل مشكلة بشكل خاص لأن التقنية تولد قيم تتبع فريدة حتى عندما يحظر المستهلك ملفات تعريف الارتباط HTTP و Flash و HTML5" و "حتى في وضع التصفح الخاص ، يمكن لـ ETags تتبع المستخدم أثناء جلسة مستعرض ".

ربما أسوأ من ذلك ، resp وضع ETag الذي لاحظناه تعيين ملف تعريف ارتباط الطرف الأول على hulu.com. وهذا يعني أن المواقع الأخرى التي تشترك في خدمة kissmetrics.com يمكنها مزامنة هذه المعرفات عبر نطاقاتها. '

كيف يمكنني منعهم?

لسوء الحظ ، لا يمكن اكتشاف هذا النوع من تتبع ذاكرة التخزين المؤقت تقريبًا ، لذا فإن الوقاية الموثوق بها صعبة للغاية. يجب أن يعمل مسح ذاكرة التخزين المؤقت الخاصة بك بين كل موقع ويب تزوره ، وكذلك يجب إيقاف تشغيل ذاكرة التخزين المؤقت بالكامل. للأسف ، هذه الطرق شاقة وستؤثر سلبًا على تجربة التصفح لديك.

يمنع عميل Secret الإضافي في Firefox التتبع بواسطة ETags ، ولكن من المحتمل أن يزيد من بصمة المتصفح (أو بسبب الطريقة التي يعمل بها ، ربما لا).

سرقة التاريخ

الآن نبدأ في الحصول على مخيف حقا. تستغل سرقة المحفوظات (والمعروفة أيضًا باسم استكشاف التاريخ) الطريقة التي يتم بها تصميم الويب ، مما يتيح لموقع الويب الذي تزوره اكتشاف سجل التصفح السابق.

تعتمد الطريقة الأبسط ، والتي كانت معروفة منذ عقد من الزمان ، على حقيقة أن روابط الويب تتغير اللون عند النقر عليها (تقليديا من الأزرق إلى الأرجواني). عند الاتصال بموقع ويب ، يمكنه الاستعلام عن المستعرض الخاص بك من خلال سلسلة من الأسئلة "نعم / لا" التي سوف يرد عليها المستعرض الخاص بك بأمانة ، مما يسمح للمهاجم باكتشاف الروابط التي تغيرت لونها ، وبالتالي تتبع سجل التصفح الخاص بك.

على الرغم من الممانعة في معالجة هذا الخلل الأمني ​​نظرًا لأنه يؤثر على الطريقة التي يعمل بها World Wide ، توفر معظم المتصفحات الحديثة الآن الحماية ضد هذا الهجوم الذي يسرق التاريخ الأساسي ، لكن الهجمات الأكثر تطوراً التي تعتمد على تخطيطات صفحات CSS وخصائص الصور تظل قيد الاستخدام.

استخدام السجل للسرقة للتعرف عليك بشكل فريد

حسنًا ، لذلك يمكن لموقع ويب تتبع سجل التصفح الخاص بك باستخدام سرقة السجل ، ولكن ربما لا يمكن تحديد هويتك ، أليس كذلك؟ خطأ. باستخدام عملية التعرف على بصمات الأصابع ، حيث يتطابق موقع الويب مع صفحات الويب التي قمت بزيارتها مع مجموعات التواصل الاجتماعي ، يكون لديه فرصة كبيرة للتعرف عليك كفرد فريد.

ضع في اعتبارك: جميع الشبكات الاجتماعية تقريبًا (مثل Facebook) تسمح لك بالانضمام إلى مجموعات المصالح ، ومعظمنا ينضم إلى العشرات من هذه المجموعات ، التي من المحتمل أن يكون كثير منها عامًا. غالبًا ما تكون قائمة المجموعات العامة التي تنضم إليها كافية لإعطائك بصمة فردية ، والتي يمكن أن تتطابق مع ملفك الشخصي على الشبكة الاجتماعية. إذا كنت تزور بانتظام مواقع الويب المرتبطة بمصالح مجموعة الشبكة الاجتماعية الخاصة بك ، فمن السهل إلى حد ما مطابقة سجل الويب الخاص بك المسروق بملفك الشخصي على الشبكة الاجتماعية.

كما قلنا ، مخيف! للأسف أيضًا ، ليس هناك الكثير مما يمكنك فعله حيال ذلك. * حتى أكثر من الكعك الفائق "العادي" ، تعتبر صناعة الويب أن سرقة التاريخ أمر غير أخلاقي ، لكن المحاولات الرامية إلى وضع مبادئ توجيهية طوعية فرضتها الصناعة لم تصل إلى أي شيء حتى الآن..

* ملاحظة: كما لاحظ القارئ آني ، فإن حذف سجل التصفح وملفات تعريف الارتباط يجب أن يعيد أيضًا تعيين ألوان الارتباط. والتي ستمنع سرقة التاريخ. بالطبع ، ما لم تقم بحذف محفوظات الاستعراض الخاصة بك وما إلى ذلك بعد كل صفحة واحدة تزورها ، فمن المحتمل أن تظل هذه التقنية قادرة على تحديد قدر كبير من المعلومات حول سجل التصفح الخاص بك.

استنتاج

هناك حرب أسلحة مستمرة بين المصالح التجارية للإعلان عبر الإنترنت وبين استخدام الإنترنت العادي للجمهور ، ويجب القول إن المصالح التجارية تربح. أصبحت العديد من الهجمات الآن متطورة ودقيقة (أبرزها بصمات أصابع المستعرض وسرقة محفوظاتها) لدرجة أن الوقاية الموثوق بها تكاد تكون مستحيلة ، وبالتأكيد تتطلب درجة من الجهد والإزعاج والمعرفة الفنية لجعل حتى أكثر الناس قلقًا منا يتجاهلون أكتافنا ويعطون فوق. نحن نكره أن نقول ذلك ، ولكن ربما يكمن الجواب الوحيد في التشريع ، أو على الأقل مدونة سلوك طوعية قوية معترف بها من قبل الصناعة والتي تثبط مواقع الويب الأكثر احتراماً عن الانغماس في هذا النوع من السلوك.

الشيء الجيد في الموقف هو أنه على الرغم من أنهم يتعقبونك ، إلا أن معظم الطرق لا تحدد هويتك بشكل فردي (حتى بصمات أصابع الشبكات الاجتماعية ، بينما تكون فعالة بشكل تعسفي ، غير موثوق بها) ، وإذا كنت تخفي عنوان IP الخاص بك باستخدام VPN (أو Tor) بعد ذلك سوف تقطع شوطًا طويلاً لفصل هويتك الحقيقية عن سلوك الويب الذي تتبعه.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me