晚上会有更多事情发生:HTTP ETag,Web存储和“历史窃取”

在关于Flash cookie和浏览器指纹的文章中,我们研究了商业互联网公司(尤其是第三方分析和广告领域)如何使用越来越狡猾和复杂的方法来逃避公众对HTTP cookie危险的认识,以便他们可以继续唯一地识别并跟踪我们在网络上的运动.


尽管Flash cookie(包括所谓的僵尸cookie)以及越来越多的浏览器指纹是用于执行此操作的最常用方法,但还有其他方法。在本文中,我们将研究其中的一些,并讨论如何挫败它们。.

HTML5网络存储

Web存储(也称为DOM(文档对象模型)存储)是HTML5(最受吹捧的Flash替代品)的功能。 Web存储甚至比Cookie更加令人毛骨悚然且功能强大,它类似于在Web浏览器中存储数据的Cookie的一种方式,但是它具有更持久的功能,更大的存储容量,并且通常无法监视,读取或选择性地进行存储从网络浏览器中删除.

与包含4 kB数据的常规HTTP cookie不同,Web存储在Chrome,Firefox和Opera中每个来源允许5 MB,在Internet Explorer中允许10 MB。网站对Web存储的控制程度更高,与Cookie不同,Web存储不会在一定时间后自动过期(即默认情况下是永久性的).

2011年,Ashkan Soltani和UC Berkeley的一组研究人员进行了网络跟踪研究时,他们发现,在接受调查的前100个网站中,有17个使用了网络存储,包括twitter.com,tmz.com,squidoo.com,nytimes .com,hulu.com,foxnews.com和cnn.com。其中大多数连接到第三方分析服务,例如Meebo,KISSanalytics或Pollydaddy.

如何停止?

网路储存空间非常容易关闭,但是许多网站(例如CNN)无法正常运作.

在Firefox中:

  • 启动Firefox并在地址栏中输入about:config
  • 在点击“我会小心,我保证!”
  • 向下滚动,直到找到dom.storage.enabled或将dom.storage.enabled复制/粘贴到搜索栏中
  • 双击“ dom.storage.enabled”,它将从默认值“ true”更改为“ false”

Firefox用户还可以配置BetterPrivacy插件,以定期自动删除Web存储,或使用“点击”&清洁插件.

在Internet Explorer中:

  • 启动Internet Explorer并打开“工具”菜单
  • 选择“ Internet选项”
  • 点击“高级”标签
  • 向下滚动,直到达到“安全性”
  • 取消选中“启用DOM存储”框
  • 点击“确定”

在Chrome中:

Chrome用户可以使用Click&干净的扩展程序或通用的Google NotScripts扩展程序,但这需要高度的配置.

在Safari和Opera中:

这些浏览器的确使用网络存储,但据我们所知没有办法将其关闭.

请注意,使用任何浏览器扩展程序都会增加使浏览器指纹具有唯一性的机会.

HTTP E标签

ETag(或实体标签,有时也称为“无cookie的cookie”)是“ HTTP的一部分,万维网的协议”,其目的是识别URL上的特定资源并跟踪对其所做的任何更改.

比较这些资源的方法允许将它们用作指纹,因为服务器只是为每个浏览器提供了唯一的ETag,并且当它再次连接时,可以在其数据库中查找ETag。.

Ashkan Soltani和他的团队首次发现了在野外使用ETags作为跟踪机制的发现,他们发现媒体流网站Hulu正在使用由网络分析公司KISSmetrics托管的服务来重新生成(僵尸风格)HTTP和HTML5使用“缓存来镜像值(特别是ETag)的Cookie”。

该报告指出,“ ETag跟踪和重新生成特别有问题,因为即使在消费者阻止HTTP,Flash和HTML5 cookie的情况下,该技术也会生成唯一的跟踪值”,并且“即使在私人浏览模式下,ETag仍可以在浏览器会话期间跟踪用户。”

甚至更糟的是,‘我们观察到的ETag重生在hulu.com上设置了第一方Cookie。这意味着订阅了kissmetrics.com服务的其他网站可以在其域之间同步这些标识符。’

我怎样才能阻止他们?

不幸的是,这种缓存跟踪实际上是无法检测到的,因此可靠的预防非常困难。清除访问的每个网站之间的缓存应该是可行的,应该完全关闭缓存。不幸的是,这些方法费劲,并且会对您的浏览体验产生负面影响.

Firefox附加组件Secret Agent阻止通过ETag进行跟踪,但可能会增加您的浏览器指纹(或由于其工作方式而可能不起作用).

历史窃取

现在我们开始变得非常恐惧。历史记录窃取(也称为历史记录侦听)利用Web的设计方式,使您访问的网站能够发现您过去的浏览历史记录.

最简单的方法,已经有十年的历史了,它依赖于这样一个事实,即当您单击Web链接时,它会更改颜色(从蓝色到紫色)。当您连接到网站时,它可以通过一系列“是/否”问题来查询浏览器,浏览器将忠实地回答这些问题,从而使攻击者能够发现哪些链接已更改颜色,从而跟踪您的浏览历史记录.

尽管不愿意解决此安全漏洞,因为它影响了World Wide的工作方式,但大多数现代浏览器现在都提供了针对这种基本历史窃取攻击的保护,但是仍然使用其他依赖CSS页面布局和图像属性的更复杂的攻击.

使用历史记录窃取来唯一标识您

好的,这样一个网站可以使用历史记录窃取来跟踪您的浏览历史记录,但它可能无法识别您的身份,对吗?错误。通过身份指纹过程,网站可以将您访问过的网页与社交网络组进行匹配,从而很有可能将您识别为唯一的个人.

考虑:几乎所有的社交网络(例如Facebook)都允许您加入兴趣小组,而我们大多数人都加入了数十个这样的团体,其中许多很可能是公开的。您加入的公共团体列表通常足以为您提供一个单独的指纹,可以与您的社交网络个人资料匹配。如果您定期访问与您的社交网络群体兴趣相关的网站,那么将窃取的网络历史记录与您的社交网络个人资料进行匹配就很容易了.

就像我们说的,吓人!此外,不幸的是,您对此无能为力。*除“常规”超级Cookie之外,网络行业还认为窃取历史记录是不道德的,但是到目前为止,建立自愿自我强加的行业指南的尝试至今无济于事.

*注意:正如读者Annie所观察到的,删除您的浏览历史记录和cookie也会重置链接颜色。这将防止历史记录被窃取。当然,除非您在访问完每个页面后都删除了浏览历史记录等,否则该技术仍可能能够确定有关您的浏览历史记录的大量信息.

结论

商业互联网广告利益与使用公众的普通互联网之间实际上存在着持续的武器之战,必须说商业利益正在赢得胜利。现在,许多攻击是如此复杂和微妙(最著名的浏览器指纹识别和历史记录窃取),以至于几乎不可能进行可靠的预防,并且肯定需要付出一定的努力,不便和技术知识才能使我们最关心的人耸耸肩并给予帮助。起来。我们讨厌这样说,但也许唯一的答案在于立法,或者至少是一项强有力的行业认可的自愿行为守则,这将阻止更受人尊敬的网站沉迷于这种行为.

这种情况的好处是,尽管它们跟踪您,但大多数方法并不能单独识别您(即使社交网络指纹识别虽然有效,但也不可靠),并且如果您使用VPN(或Tor)屏蔽IP地址那么您将需要很长的路要走,以使您的真实身份与所跟踪的网络行为无关.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me