Περισσότερα πράγματα που χτυπούν τη νύχτα: HTTP ETags, Web Storage και “κλοπή ιστορίας”

Στα άρθρα μας σχετικά με τα cookie Flash και τα δακτυλικά αποτυπώματα του φυλλομετρητή εξετάσαμε πώς οι εμπορικές εταιρείες διαδικτύου, ιδιαίτερα τα analytics τρίτων και οι τομείς διαφήμισης, χρησιμοποιούν όλο και πιο ύπουλες και εξελιγμένες μεθόδους για να αποφύγουν την ευαισθητοποίηση του κοινού για τους κινδύνους των cookies HTTP, ώστε να μπορούν να συνεχίσουν να εντοπίζουν μοναδικά και να παρακολουθείτε τις κινήσεις μας στον ιστό.

Ενώ τα cookie Flash (συμπεριλαμβανομένων των αποκαλούμενων cookies ζόμπι) και, όλο και περισσότερο, τα δακτυλικά αποτυπώματα του προγράμματος περιήγησης, είναι οι πιο κοινές μέθοδοι που χρησιμοποιούνται για να γίνει αυτό, υπάρχουν και άλλα. Σε αυτό το άρθρο θα εξετάσουμε μερικά από αυτά, και θα συζητήσουμε πώς μπορούν να αποφευχθούν.

Διαδικτυακή αποθήκευση HTML5

Ένα χαρακτηριστικό γνώρισμα του HTML5 (η πολυαναμενόμενη αντικατάσταση στο Flash) είναι το Web Storage (επίσης γνωστό ως αποθήκευση DOM (Document Object Model)). Ακόμη και πιο ογκώδες και πολύ πιο ισχυρό από τα cookies, η αποθήκευση στο διαδίκτυο είναι ένας τρόπος ανάλογος με τα cookies αποθήκευσης δεδομένων σε ένα πρόγραμμα περιήγησης ιστού, αλλά είναι πολύ πιο επίμονος, έχει πολύ μεγαλύτερη χωρητικότητα αποθήκευσης και δεν μπορεί κανονικά να παρακολουθείται, να διαβάζεται ή να επιλεκτικά από το πρόγραμμα περιήγησης ιστού σας.

Σε αντίθεση με τα κανονικά cookie HTTP που περιέχουν δεδομένα 4 kB, το αποθηκευτικό δίκτυο επιτρέπει 5MB ανά προέλευση σε Chrome, Firefox και Opera και 10 MB στον Internet Explorer. Οι ιστότοποι έχουν πολύ μεγαλύτερο επίπεδο ελέγχου στο χώρο αποθήκευσης στο διαδίκτυο και, σε αντίθεση με τα cookies, η αποθήκευση ιστού δεν λήγει αυτόματα μετά από ένα ορισμένο χρονικό διάστημα (δηλαδή είναι μόνιμη από προεπιλογή).

Όταν ο Ashkan Soltani και μια ομάδα ερευνητών στο UC Berkeley διενήργησαν μελέτη για την παρακολούθηση ιστού το 2011, διαπίστωσαν ότι από τους 100 πρώτους ιστότοπους που συμμετείχαν στην έρευνα, χρησιμοποιήθηκαν 17 ιστότοποι αποθήκευσης, συμπεριλαμβανομένων των twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com και cnn.com. Τα περισσότερα από αυτά συνδέονται με μια υπηρεσία αναλυτικών στοιχείων τρίτου μέρους όπως το Meebo, το KISSanalytics ή το Pollydaddy.

Πώς μπορώ να το σταματήσω?

Η αποθήκευση στο διαδίκτυο είναι πολύ εύκολο να απενεργοποιηθεί, αλλά πολλοί ιστότοποι (π.χ. CNN) δεν λειτουργούν σωστά αν το κάνετε.

Στο Firefox:

  • Εκκινήστε τον Firefox και πληκτρολογήστε: config στη γραμμή διευθύνσεων
  • Στο κουμπί "Θα είμαι προσεκτικός, υπόσχομαι!"
  • Κάντε κύλιση προς τα κάτω έως ότου φτάσετε στο dom.storage.enabled ή αντιγράψτε / επικολλήστε το "dom.storage.enabled" στη γραμμή αναζήτησης
  • Κάντε διπλό κλικ στην επιλογή 'dom.storage.enabled' και θα αλλάξει από την προεπιλεγμένη τιμή 'true' σε 'false'

Οι χρήστες του Firefox μπορούν επίσης να διαμορφώσουν το addon της BetterPrivacy για να αφαιρέσουν αυτόματα αυτόματα το web storage σε τακτική βάση ή να χρησιμοποιήσουν το κουμπί Click&Καθαρίστε το addon.

Στον Internet Explorer:

  • Εκκινήστε τον Internet Explorer και ανοίξτε το μενού Εργαλεία
  • Επιλέξτε 'Επιλογές Internet'
  • Κάντε κλικ στην καρτέλα 'Για προχωρημένους'
  • Κάντε κύλιση προς τα κάτω μέχρι να φτάσετε στην επιλογή "Ασφάλεια"
  • Καταργήστε την επιλογή του πλαισίου για την επιλογή "Ενεργοποίηση DOM αποθήκευσης"
  • Κάντε κλικ στο κουμπί "Ok"

Στο Chrome:

Οι χρήστες του Chrome μπορούν να χρησιμοποιήσουν το κλικ&Καθαρή επέκταση ή, εναλλακτικά, η ευέλικτη επέκταση Google NotScripts, αλλά αυτό απαιτεί υψηλό βαθμό διαμόρφωσης.

Στο Safari και την Όπερα:

Αυτά τα προγράμματα περιήγησης χρησιμοποιούν το web storage, αλλά όσο γνωρίζουμε, δεν υπάρχει τρόπος να το απενεργοποιήσετε.

Σημειώστε ότι η χρήση οποιασδήποτε επέκτασης προγράμματος περιήγησης αυξάνει την πιθανότητα να γίνει μοναδικό το αποτύπωμα του προγράμματος περιήγησης.

HTTP ETags

Οι ETags (ή οι ετικέτες οντοτήτων, μερικές φορές αναφερόμενες ως cookieless cookies) είναι «μέρος του HTTP, του πρωτοκόλλου για τον Παγκόσμιο Ιστό», σκοπός του οποίου είναι να αναγνωρίσει έναν συγκεκριμένο πόρο σε μια διεύθυνση URL και να παρακολουθήσει τις αλλαγές που έγιναν σε αυτόν.

Η μέθοδος με την οποία συγκρίνονται αυτοί οι πόροι τους επιτρέπει να χρησιμοποιηθούν ως δακτυλικά αποτυπώματα, καθώς ο διακομιστής δίνει απλά σε κάθε πρόγραμμα περιήγησης ένα μοναδικό ETag και όταν συνδέει ξανά, μπορεί να δει το ETag στη βάση δεδομένων του.

Η πρώτη ανακαλυφθείσα χρήση του ETags σε άγρια ​​φύση ως μηχανισμού παρακολούθησης έγινε από τον Ashkan Soltani και την ομάδα του, ο οποίος διαπίστωσε ότι ο ιστοχώρος Hulu με τη χρήση του διαδικτύου χρησιμοποιούσε μια υπηρεσία που φιλοξενείται από την εταιρία KISSmetrics για την ανίχνευση του στυλ Zombie HTTP και HTML5 cookies που χρησιμοποιούν "την κρυφή μνήμη για να αντικατοπτρίζουν τις τιμές, συγκεκριμένα τα ETags."

Η έκθεση επισημαίνει ότι η παρακολούθηση και η ανάκτηση ETAG είναι ιδιαίτερα προβληματική επειδή η τεχνική παράγει μοναδικές τιμές παρακολούθησης ακόμη και όταν ο καταναλωτής μπλοκάρει τα cookies HTTP, Flash και HTML5 και ακόμη και σε ιδιωτική λειτουργία περιήγησης, η ETags μπορεί να παρακολουθήσει τον χρήστη κατά τη διάρκεια μιας περιόδου περιήγησης ».

Ίσως ακόμη χειρότερα, "το ETAG respawning που παρατηρήσαμε ορίσαμε ένα cookie πρώτου μέρους στο hulu.com. Αυτό σημαίνει ότι άλλοι ιστότοποι που προσυπογράφουν την υπηρεσία kissmetrics.com θα μπορούσαν να συγχρονίσουν αυτά τα αναγνωριστικά σε όλους τους τομείς.

Πώς μπορώ να τους σταματήσω?

Δυστυχώς, αυτό το είδος της ανίχνευσης της κρυφής μνήμης είναι ουσιαστικά μη ανιχνεύσιμο, οπότε η αξιόπιστη πρόληψη είναι πολύ δύσκολη. Η εκκαθάριση της προσωρινής μνήμης σας μεταξύ κάθε ιστότοπου που επισκέπτεστε θα πρέπει να λειτουργήσει, καθώς θα πρέπει να απενεργοποιήσετε την κρυφή μνήμη σας εντελώς. Δυστυχώς αυτές οι μέθοδοι είναι δύσκολες και θα επηρεάσουν αρνητικά την εμπειρία περιήγησης.

Το πρόσθετο Secret Agent του Firefox εμποδίζει την παρακολούθηση από το ETags, αλλά πιθανότατα θα αυξήσει το δακτυλικό αποτύπωμα του browser σας (ή εξαιτίας του τρόπου με τον οποίο λειτουργεί, ίσως όχι).

Η ιστορία κλέβει

Τώρα αρχίζουμε να έχουμε πραγματικά τρομακτικό. Η ιστορία κλοπής (γνωστή και ως ιστορία snooping) εκμεταλλεύεται τον τρόπο με τον οποίο σχεδιάστηκε το Web, επιτρέποντας σε έναν ιστότοπο που επισκέπτεστε να ανακαλύψετε το παρελθόν ιστορικό περιήγησης.

Η απλούστερη μέθοδος, η οποία είναι γνωστή για μια δεκαετία, βασίζεται στο γεγονός ότι οι συνδέσεις στο διαδίκτυο αλλάζουν χρώμα όταν κάνετε κλικ σε αυτές (παραδοσιακά από μπλε σε μοβ). Όταν συνδέεστε σε έναν ιστότοπο, μπορείτε να ερωτήσετε το πρόγραμμα περιήγησής σας μέσω μιας σειράς ερωτήσεων ναι / όχι στις οποίες το πρόγραμμα περιήγησής σας θα ανταποκριθεί πιστά, επιτρέποντας στον εισβολέα να ανακαλύψει ποιες συνδέσεις έχουν αλλάξει χρώμα και επομένως να παρακολουθήσετε το ιστορικό περιήγησης.

Παρά την απροθυμία να αντιμετωπίσει αυτό το ελάττωμα ασφαλείας επειδή επηρεάζει τον τρόπο με τον οποίο λειτουργεί το World Wide, τα περισσότερα σύγχρονα προγράμματα περιήγησης παρέχουν τώρα προστασία από αυτή την βασική επίθεση κλοπής ιστορίας, αλλά εξακολουθούν να χρησιμοποιούνται και άλλες πιο εξελιγμένες επιθέσεις που βασίζονται σε διατάξεις σελίδας CSS και χαρακτηριστικά εικόνας.

Χρησιμοποιώντας την κλοπή ιστορικού για να προσδιορίσετε μοναδικά εσάς

Εντάξει, ο ιστότοπος μπορεί να παρακολουθεί το ιστορικό περιήγησης χρησιμοποιώντας κλοπή ιστορικού, αλλά δεν θα μπορούσε να προσδιορίσει ποιος είστε, έτσι; Λανθασμένος. Χρησιμοποιώντας μια διαδικασία αποτύπωσης ταυτότητας, με την οποία ένας ιστότοπος ταιριάζει με τις ιστοσελίδες που έχετε επισκεφτεί στις ομάδες κοινωνικής δικτύωσης, έχει μεγάλη πιθανότητα να σας αναγνωρίσει ως μοναδικό άτομο.

Εξετάστε: Σχεδόν όλα τα κοινωνικά δίκτυα (π.χ. το Facebook) σας επιτρέπουν να συμμετάσχετε σε ομάδες ενδιαφερόντων και οι περισσότεροι από εμάς συμμετέχουν σε δεκάδες ομάδες, πολλές από τις οποίες είναι πιθανό να είναι δημόσιες. Η λίστα των δημόσιων ομάδων στις οποίες συμμετέχετε είναι συχνά αρκετή για να σας δώσει ένα ξεχωριστό αποτύπωμα, το οποίο μπορεί να αντιστοιχιστεί στο προφίλ κοινωνικού δικτύου σας. Εάν επισκέπτεστε τακτικά ιστότοπους που σχετίζονται με τα ενδιαφέροντα ομάδας κοινωνικών δικτύων σας, τότε είναι αρκετά εύκολο να αντιστοιχίσετε το κλεμμένο ιστορικό ιστού με το προφίλ κοινωνικού δικτύου σας.

Όπως είπαμε, τρομακτικό! Επίσης, δυστυχώς, δεν υπάρχει τίποτα που μπορείτε να κάνετε γι 'αυτό. * Ακόμη περισσότερο από τα «κανονικά» supercookies, η βιομηχανία του ιστού θεωρεί ότι η ιστορία κλέβει να είναι ανήθικη, αλλά οι προσπάθειες για την εγκαθίδρυση εθελοντικά αυτοβαρών κατευθυντήριων γραμμών του κλάδου έχουν μέχρι στιγμής καταλήξει σε τίποτα.

* Σημείωση: Όπως αναγνώρισε ο αναγνώστης, η διαγραφή του ιστορικού περιήγησης και των cookies θα πρέπει επίσης να επαναφέρει τα χρώματα των συνδέσμων. Ποια θα αποτρέψει την κλοπή ιστορίας. Φυσικά, αν δεν διαγράψετε το ιστορικό περιήγησης κλπ. Μετά από κάθε σελίδα που επισκέπτεστε, αυτή η τεχνική θα εξακολουθεί να είναι πιθανό να μπορεί να καθορίσει πολλά για το ιστορικό περιήγησής σας.

συμπέρασμα

Υπάρχει πράγματι ένας συνεχιζόμενος πόλεμος όπλων μεταξύ εμπορικών συμφερόντων διαφήμισης μέσω διαδικτύου και του συνηθισμένου διαδικτύου που χρησιμοποιεί το κοινό, και πρέπει να ειπωθεί ότι τα εμπορικά συμφέροντα κερδίζουν. Πολλές επιθέσεις είναι τώρα τόσο εξελιγμένες και λεπτή (η πιο αξιοσημείωτη εκτύπωση των δακτυλικών αποτυπωμάτων και η ιστορία κλέβουν) ότι η αξιόπιστη πρόληψη είναι σχεδόν αδύνατη και σίγουρα απαιτεί κάποια προσπάθεια, ταλαιπωρία και τεχνική τεχνογνωσία για να φτιάξουμε ακόμη και τους πιο ενδιαφερόμενους από τους ώμους μας πάνω. Το μοιραζόμαστε να το πούμε, αλλά ίσως η μόνη απάντηση έγκειται στη νομοθεσία ή τουλάχιστον σε ένα ισχυρό εθελοντικό κώδικα δεοντολογίας αναγνωρισμένο από τη βιομηχανία που θα αποθαρρύνει τους πιο αξιοσέβαστους ιστότοπους από το να επιδίδονται σε τέτοιου είδους συμπεριφορές.

Το ένα καλό πράγμα για την κατάσταση είναι ότι παρόλο που σας παρακολουθούν, οι περισσότερες μέθοδοι δεν σας αναγνωρίζουν μεμονωμένα (ακόμα και τα αποτυπώματα του κοινωνικού δικτύου, ενώ είναι απολύτως αποτελεσματικά, δεν είναι αξιόπιστα) και εάν καλύπτετε τη διεύθυνση IP με ένα VPN τότε θα διανύσετε πολύ δρόμο για να διαχωρίσετε την πραγματική σας ταυτότητα από την παρακολούθηση της διαδικτυακής σας συμπεριφοράς.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me