Neste front i kakekrigene: Fighting the Evercookie

Som de fleste tekniske aspekter av Internett, så det ut til at cookies var fornuftige da de ble introdusert. På noen måter er de fremdeles nyttige. Men det er en mørk side. Informasjonskapsler kan brukes til å spore bevegelsen vår på Internett, og mange sier, det stemmer ikke.

Hva er egentlig en cookie?

Teknisk sett er en informasjonskapsel et godartet stykke tekst som stammer fra webserveren og sendes til nettleseren, hvor den lagres som forberedelse til brukerens neste besøk. Informasjonskapsler kan brukes til å automatisere autentisering av nettsteder, beholde nettstedets preferanser, shoppingvalg eller annen bit av informasjon som er ment for å lette besøksopplevelsen.

Det er to typer HTTP-informasjonskapsler. Førsteparts informasjonskapsler sendes fra webserveren som viser adressefeltet. Tredjeparts informasjonskapsler kommer fra forskjellige webservere som vanligvis viser annonser på den viste websiden.

Ikke-tilknytning til det for øyeblikket viste domenet, slik at tredjeparts cookies tillater annonsører å sammenstille en online historie for brukere. Annonseselskapene bruker deretter atferdsmålretting for å vise rettede annonser. Det er her det blir komplisert. Tillater du at bevegelsene dine på Internett spores, bare for å få annonser som er bedre egnet for deg?

Fjerningsalternativer

I en pågående kamp utvikler annonsører stadig mer vedvarende informasjonskapsler. Deretter utvikler sikkerhetseksperter nye måter å forhindre installasjon av informasjonskapsler. Hver nettleser har sin egen måte å håndtere informasjonskapsler på. Sjekk fanen eller innstillinger-fanen for nettleseren. Personvernspesialister antyder i det minste å ikke tillate tredjeparts informasjonskapsler.

I fjor ble en ny type cookie stille introdusert. Det kalles offisielt Local Shared Object (LSO), ofte kalt en Flash-cookie. Mer vedvarende enn HTTP-informasjonskapsler, det krever tilleggsnettlesere-utvidelser for å fjerne.

Cookie-krigen fortsetter

For det meste kontrollerer brukere hvilke informasjonskapsler som er installert. Det er i ferd med å endre seg. Mens jeg undersøkte en artikkel, kom jeg over Samy Kamkar (@samykamkar) nettsted, Evercookie - glem aldri. Tittelen fanget oppmerksomheten min. Hva er en Evercookie? Her er Mr. Kamkars beskrivelse:

"Evercookie er et JavaScript-API som produserer ekstremt vedvarende informasjonskapsler i en nettleser. Målet er å identifisere en klient selv etter at de har fjernet standard informasjonskapsler, Flash-informasjonskapsler og andre."

Nå skjer det igjen.

Inngående analyse

Hvis navnet Samy Kamkar høres kjent ut, er det fordi han er mest kjent for Samy-ormen, den første XSS-ormen, som smitter over en million brukere på MySpace på mindre enn 24 timer. For tiden er han en uavhengig sikkerhetsforsker og medgründer av Fonality Inc., et IP PBX-selskap.

Ikke å være en ekspert når det gjelder hvordan nettlesere samhandler med informasjonskapsler, jeg tenkte det var best å be Mr. Kamkar om å hjelpe forklare Evercookie:

TechRepublic : Hva er en Evercookie, og hvorfor utviklet du den? Samy Kamkar : Evercookie er et Javascript API som gjør det mulig å lagre informasjon om informasjonskapsler på en rekke forskjellige steder når en bruker besøker en webside. Normale nettsteder vil vanligvis bare lagre data (for eksempel en øktidentifikator) i noe som en cookie.

Imidlertid bruker Evercookie ikke bare informasjonskapselen, men en rekke andre lokasjoner, for eksempel Flash-informasjonskapsler, Silverlight isolert lagring og forskjellige steder for HTML5-lagring. Når en bruker sletter standardkakene sine, forblir de andre stedene og kan gjenopprette den opprinnelige informasjonskapselen.

Jeg bygde Evercookie som et bevis på konsept, og ønsket å vise hvordan nettsteder kan spore brukere selv om de sletter standard informasjonskapsler og LSO-er. Evercookie kaster også lys over det faktum at det finnes mange metoder for lagring av informasjonskapsler lokalt. Endelig fungerer Evercookie som en lakmustest for brukere som vil se om de er beskyttet mot nettsteder som sporer slik. TechRepublic : Flere eksperter har kommentert at de følgende to lagringsmetoder er strålende svak.
  • Lagring av informasjonskapsler i RGB-verdier av automatisk genererte, hurtigbufrede PNG-er ved hjelp av HTML5 Canvas-tag for å lese piksler (informasjonskapsler)
  • Lagring av informasjonskapsler i nettloggen

Kan du forklare hva de er og hvorfor ekspertene føler det?

Samy Kamkar : Det er interessant å lagre informasjonskapsler i PNG-bildet, siden et bilde egentlig bare er data. Dataene du vil lagre konverteres til fargeverdier. Fargeverdiene er strenget sammen i et bilde for å produsere en PNG-fil.

Evercookie ber deretter nettleseren om å lagre dette bildet i 30 år i cachen. Når brukeren kommer tilbake til nettstedet, får du tilgang til bildet via cache, og siden leser hver piksel i bildet, og trekker ut fargene fra hver piksel. Fargene konverteres tilbake til tekst som produserer de originale informasjonskapslene.

Lagring av informasjonskapsler i netthistorikken bruker en interessant funksjon for nettlesere.

La oss anta at informasjonskapseldataene vi vil lagre er "bcde". Evercookie får deretter tilgang til følgende nettadresser i bakgrunnen:

  • google.com/evercookie/cache/b
  • google.com/evercookie/cache/bc
  • google.com/evercookie/cache/bcd
  • google.com/evercookie/cache/bcde
  • google.com/evercookie/cache/bcde-

Disse nettadressene er nå lagret i nettleserens historie. Når du ser etter en cookie, går Evercookie gjennom alle mulige tegn på google.com/Evercookie/cache/, begynner med "a" og flytter opp, men bare for et enkelt tegn.

Når den ser en URL-adresse som ble åpnet fordi den er i nettleserens historie, prøver den å brute frem neste bokstav. Denne prosessen skjer ekstremt raskt fordi det ikke sendes forespørsler til den aktuelle serveren. Evercookie vet at den har nådd slutten av strengen så snart den finner en URL som ender i "-".

TechRepublic : Er installasjonsprosessen automatisert, eller må brukeren starte den? Samy Kamkar : Nei, klienten besøker ganske enkelt nettstedet. Det er ingen indikasjoner på at det settes vedvarende data, akkurat som et nettsted med standard HTTP-informasjonskapsler. TechRepublic : Hver versjon av nettleser har en metode for å surfe privat. Hindrer det at Evercookie lagrer en informasjonskapsel på noen av stedene du har valgt å bruke? Samy Kamkar : De fleste private nettleserfunksjoner hos nettlesere stopper nesten alle funksjonene i Evercookie. Problemet er at det bare krever ett sted for å være igjen for Evercookie for å holde kategorien på brukeren. Forhåpentligvis vil disse funksjonene bli bedre i fremtidige versjoner og forhindre alle disse lagringsmetodene. TechRepublic : Kan Evercookie bli beseiret ved å deaktivere JavaScript eller bruke et program som NoScript? Samy Kamkar : Ja, NoScript eller slå av JavaScript vil forhindre at Evercookie blir opprettet. TechRepublic : Jeg bruker mer enn en nettleser, fungerer Evercookie hvis jeg bytter til en annen etter å ha mottatt Evercookie? Samy Kamkar : Hvis en bruker blir cookie i en nettleser og bytter til en annen nettleser, så lenge de fremdeles har en cookie med Local Shared Object, vil cookien gjengis i begge nettleserne. TechRepublic : Du nevnte Local Shared Objects (LSO). Fjern utvidelser som FlashBlock, CCleaner eller Adobes panel for innstillinger for lagring av nettsteder Evercookies versjon av LSO? Samy Kamkar : Selv om de vil stoppe LSO, vil det ikke forhindre andre lagringsmetoder, og det tar bare én lagringsmekanisme for å tillate full sporing. TechRepublic: Jeg har lest noen kommentarer fra utviklere om at Evercookie er akkurat det noen av kundene deres vil ha. Vet du om dette fremdeles er et bevis på konsept eller faktisk brukes? Samy Kamkar : Jeg vet ikke om Evercookie selv blir brukt, men jeg vet at selskaper allerede har ansatt lignende, men mindre kraftig programvare for å gjøre dette. TechRepublic : Du har et interessant motto, "Tenk dårlig, gjør godt". Kan du forklare hva du mener? Samy Kamkar : Jeg tror rett og slett den beste måten å beskytte oss selv på, er å forstå hvordan vi kan utnyttes i utgangspunktet. TechRepublic : Du er også blitt sitert for å si (Courtesy of Ars Technica):

"Jeg håper Evercookie ganske enkelt demonstrerer for folk hvilke typer metoder som blir brukt for å spore dem og bestemme om de vil forhindre disse metodene eller ikke. Evercookie tok mindre enn en dag å lage for meg som sikkerhetshobbyist, så jeg kan bare forestill deg teknologien som finansierte utviklere produserer. "

Hva er tankene dine om de verserende søksmål relatert til informasjonskapsler og deres evne til å spore online reiser?

Samy Kamkar : Jeg er ikke sikker på at det er nok av et spørsmål om at søksmål er nødvendige, men jeg mener brukere bør ha full rett til å forhindre at ethvert nettsted sporer dem. Jeg mener også nettleseren burde gjøre det ekstremt enkelt for en bruker å forhindre denne typen sporing. Ingen nettlesere gjør det for øyeblikket enkelt å gjøre. Jeg håper Evercookie kan gyte noen nye funksjoner som gjør det enkelt å forhindre Evercookie-lignende sporing.

Fjerne Evercookie

Mr. Kamkar hadde rett. Jeg fant to forskere som har utviklet metoder for å fjerne Evercookies. Jeremiah Grossman grunnlegger og CTO for WhiteHat Security har skrevet en blogg som viser hvordan du fjerner Evercookie fra Chrome og Firefox. Dominic White, en sikkerhetskonsulent som jobber for SensePost, har skrevet et verktøy for å fjerne Evercookies fra Safari.

Jeg spurte Mr. Kamkar om dette virkelig var løsninger:

"Det ser ut til at de gir informasjon om hvordan du fjerner Evercookie. Det er bare en så tungvint og vanskelig prosess at den typiske brukeren ikke ville benytte seg av dem."

Siste tanker

Cookie-krigen er langt fra over. Det ser ut til at standard forebygging ikke er tilstrekkelig, på grunn av at de nye stedene informasjonskapsler kan skjules. Den eneste sikre løsningen er å deaktivere JavaScript for å forhindre innstilling av en Evercookie.

En spesiell takk til Mr. Kamkar - jeg stilte mange spørsmål.

© Copyright 2020 | mobilegn.com