Meer dingen die ‘s nachts tegen het lijf lopen: HTTP ETags, Web Storage en ‘history steeling’

In onze artikelen over Flash-cookies en vingerafdrukken van browsers hebben we gekeken naar hoe commerciële internetbedrijven, met name analyse- en advertentiedomeinen van derden, steeds sneaky en verfijnde methoden gebruiken om het publieke bewustzijn van de gevaren van HTTP-cookies te ontwijken, zodat ze uniek kunnen blijven identificeren en volg onze bewegingen op het web.

Hoewel Flash-cookies (inclusief zogenaamde zombie-cookies) en, in toenemende mate, browser fingerprinting, de meest gebruikte methoden zijn om dit te doen, zijn er andere. In dit artikel zullen we enkele van deze bekijken en bespreken hoe ze kunnen worden verijdeld.

HTML5 Webopslag

Een kenmerk van HTML5 (de veel geroemde vervanging van Flash) is webopslag (ook bekend als DOM (Document Object Model) opslag). Nog griezeliger en veel krachtiger dan cookies, webopslag is een manier analoog aan cookies om gegevens in een webbrowser op te slaan, maar die veel persistent is, een veel grotere opslagcapaciteit heeft en die normaal niet kan worden gevolgd, gelezen of selectief verwijderd uit uw webbrowser.

In tegenstelling tot gewone HTTP-cookies die 4 kB aan gegevens bevatten, staat webopslag 5 MB per oorsprong toe in Chrome, Firefox en Opera en 10 MB in Internet Explorer. Websites hebben een veel groter niveau van controle over webopslag en, in tegenstelling tot cookies, verloopt webopslag niet automatisch na een bepaalde tijdsduur (d.w.z. het is standaard permanent).

Toen Ashkan Soltani en een team van onderzoekers van UC Berkeley in 2011 een onderzoek naar webtracking hebben uitgevoerd, ontdekten ze dat van de top 100 onderzochte websites, 17 webopslag gebruikten, waaronder twitter.com, tmz.com, squidoo.com, nytimes .com, hulu.com, foxnews.com en cnn.com. De meeste hiervan waren verbonden met een analyseservice van derden, zoals Meebo, KISSanalytics of Pollydaddy.

Hoe stop ik het?

Webopslag is vrij eenvoudig uit te schakelen, maar veel sites (bijvoorbeeld CNN) zullen niet goed werken als u dit doet.

In Firefox:

  • Start Firefox en typ about: config in de adresbalk
  • In Klik ‘Ik zal voorzichtig zijn, dat beloof ik!’
  • Blader omlaag totdat u dom.storage.enabled bereikt of kopieer / plak 'dom.storage.enabled' in de zoekbalk
  • Dubbelklik op 'dom.storage.enabled' en de standaardwaarde ‘true’ wordt gewijzigd in ‘false’

Firefox-gebruikers kunnen ook de BetterPrivacy-add-on configureren om webopslag regelmatig automatisch te verwijderen, of de Click gebruiken&Schone addon.

In Internet Explorer:

  • Start Internet Explorer en open het menu Extra
  • Selecteer 'Internet-opties'
  • Klik op het tabblad ‘Geavanceerd’
  • Scrol omlaag totdat u ‘Beveiliging’ bereikt
  • Verwijder het vinkje bij ‘DOM-opslag inschakelen’
  • Klik OK'

In Chrome:

Chrome-gebruikers kunnen de Click gebruiken&Schone extensie of, alternatief, de veelzijdige Google NotScripts-extensie, maar dit vereist een hoge mate van configuratie.

In Safari en Opera:

Deze browsers maken gebruik van webopslag, maar voor zover wij weten is er geen manier om dit uit te schakelen.

Houd er rekening mee dat het gebruik van een browserextensie de kans vergroot om de vingerafdruk van de browser uniek te maken.

HTTP ETags

ETags (of entiteitstags, soms ‘cookieless cookies’ genoemd) zijn ‘onderdeel van HTTP, het protocol voor het World Wide Web’ waarvan het doel is om een ​​specifieke bron op een URL te identificeren en eventuele wijzigingen daarin bij te houden.

Dankzij de methode waarmee deze bronnen worden vergeleken, kunnen ze als vingerafdrukken worden gebruikt, omdat de server elke browser een unieke ETag geeft en wanneer hij opnieuw verbinding maakt, kan hij de ETag opzoeken in zijn database.

Het eerste ontdekte gebruik van ETags 'in het wild' als volgmechanisme werd gemaakt door Ashkan Soltani en zijn team, die ontdekten dat de website voor mediastreaming Hulu een service gebruikte van webanalysebedrijf KISSmetrics om HTTP (HTTP) en HTML5 te respawnen (Zombie-stijl) cookies die 'de cache gebruiken om waarden te spiegelen, in het bijzonder ETags'.

Het rapport merkt op dat 'ETag-tracking en respawning bijzonder problematisch is omdat de techniek unieke trackingwaarden genereert, zelfs wanneer de consument HTTP-, Flash- en HTML5-cookies blokkeert', en 'zelfs in privé-browsermodus kan ETags de gebruiker volgen tijdens een browsersessie .'

Misschien nog erger, 'de ETag-respawning die we hebben waargenomen, plaatste een first party-cookie op hulu.com. Dit betekent dat andere sites die zijn geabonneerd op de kissmetrics.com-service deze identifiers kunnen synchroniseren tussen hun domeinen. '

Hoe kan ik ze stoppen?

Helaas is dit soort cache-tracking vrijwel niet detecteerbaar, dus betrouwbare preventie is erg moeilijk. Het wissen van je cache tussen elke website die je bezoekt zou moeten werken, net als het uitschakelen van je cache helemaal. Helaas zijn deze methoden lastig en hebben ze een negatieve invloed op uw browse-ervaring.

De Firefox-add-on Secret Agent voorkomt tracking door ETags, maar zal waarschijnlijk de vingerafdruk van uw browser vergroten (of vanwege de manier waarop het werkt, misschien niet).

Geschiedenis stelen

Nu beginnen we echt eng te worden. Het stelen van geschiedenis (ook wel snooping van geschiedenis genoemd) maakt gebruik van de manier waarop het web is ontworpen, waardoor een website die u bezoekt, uw browsegeschiedenis in het verleden kan ontdekken.

De eenvoudigste methode, die al tien jaar bekend is, is gebaseerd op het feit dat weblinks van kleur veranderen wanneer u erop klikt (traditioneel van blauw naar paars). Wanneer u verbinding maakt met een website, kan deze uw browser bevragen via een reeks ja / nee-vragen waarop uw browser getrouw reageert, zodat de aanvaller kan ontdekken welke links van kleur zijn veranderd en dus uw browsegeschiedenis kan volgen.

Ondanks de terughoudendheid om dit beveiligingslek aan te pakken, omdat het de manier waarop World Wide werkt beïnvloedt, bieden de meeste moderne browsers nu bescherming tegen deze basisaanval door het stelen van geschiedenis, maar andere meer geavanceerde aanvallen die afhankelijk zijn van CSS-paginalay-outs en afbeeldingskenmerken blijven in gebruik.

Het gebruik van geschiedenisstelen om u uniek te identificeren

Ok, dus een website kan je browsegeschiedenis volgen met behulp van geschiedenisstelen, maar het kan onmogelijk identificeren wie je bent, toch? Mis. Met behulp van een proces van identiteitsvingerafdrukken, waarbij een website overeenkomt met de webpagina's die u hebt bezocht met sociale netwerkgroepen, heeft het een grote kans om u te identificeren als een uniek individu.

Overweeg: met bijna alle sociale netwerken (bijvoorbeeld Facebook) kun je lid worden van belangengroepen, en de meesten van ons sluiten zich aan bij tientallen van deze groepen, waarvan vele waarschijnlijk openbaar zijn. De lijst met openbare groepen waarvan u lid wordt, is vaak voldoende om u een individuele vingerafdruk te geven, die kan worden gekoppeld aan uw sociale netwerkprofiel. Als u regelmatig websites bezoekt die verband houden met de interesses van uw sociale netwerkgroep, dan is het vrij eenvoudig om uw gestolen webgeschiedenis aan uw sociale netwerkprofiel te koppelen..

Zoals we al zeiden, eng! Helaas kunt u er helaas niet veel aan doen. * Zelfs meer dan 'gewone' supercookies, beschouwt de webindustrie geschiedenisstelen als onethisch, maar tot nu toe zijn pogingen om vrijwillig zelf opgelegde industriële richtlijnen op te stellen tot nu toe niets.

* Opmerking: Zoals lezer Annie heeft opgemerkt, moet het verwijderen van uw browsegeschiedenis en cookies ook de linkkleuren opnieuw instellen. Dat voorkomt dat de geschiedenis steelt. Natuurlijk, tenzij u uw browsegeschiedenis enz. Verwijdert na elke pagina die u bezoekt, zal deze techniek waarschijnlijk nog steeds veel kunnen bepalen over uw browsegeschiedenis.

Conclusie

Er is feitelijk een voortdurende wapenoorlog tussen commerciële internetadvertentiebelangen en het gewone internet dat publiek gebruikt, en er moet worden gezegd dat commerciële belangen winnen. Veel aanvallen zijn nu zo verfijnd en subtiel (opmerkelijkste vingerafdrukken in de browser en geschiedenis stelen) dat betrouwbare preventie bijna onmogelijk is en zeker een zekere inspanning, ongemak en technische kennis vergt om zelfs de meest betrokkenen van ons onze schouders op te halen en te geven up. We willen het niet graag zeggen, maar misschien ligt het enige antwoord in wetgeving, of op zijn minst een robuuste, door de industrie erkende vrijwillige gedragscode die meer respectabele websites zal ontmoedigen om zich aan dit soort gedrag te onderwerpen..

Het enige goede aan de situatie is dat hoewel ze je volgen, de meeste methoden je niet individueel identificeren (zelfs sociale netwerkvingerafdrukken, hoewel eng effectief, niet betrouwbaar), en als je je IP-adres maskeert met een VPN (of Tor) dan ga je een lange weg af om je echte identiteit los te koppelen van je gevolgde webgedrag.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me