Seuraava evästeiden sota: Evercookien torjunta

Kuten useimmat Internetin tekniset näkökohdat, evästeet näyttivät olevan järkeviä, kun ne ensimmäisen kerran otettiin käyttöön. Joissakin suhteissa ne ovat edelleen hyödyllisiä. Mutta siellä on tumma puoli. Evästeitä voidaan käyttää liikkumisen seuraamiseen Internetissä, ja monet sanovat, että se ei ole totta.

Mikä on eväste?

Eväste on teknisesti hyvänlaatuinen tekstipala, joka on peräisin web-palvelimelta ja lähetetään selaimeen, jossa se tallennetaan käyttäjän seuraavaa käyntiä varten. Evästeitä voidaan käyttää verkkosivustojen todennuksen automatisointiin, verkkosivustojen asetusten, ostosvaihtoehtojen säilyttämiseen tai muihin tietoihin, joiden tarkoituksena on helpottaa vierailijoiden kokemusta.

HTTP-evästeitä on kahta tyyppiä. Ensimmäisen osapuolen evästeet lähetetään osoiterivillä luetellulta web-palvelimelta. Kolmannen osapuolen evästeet saapuvat eri verkkopalvelimilta, jotka yleensä tarjoavat mainoksia näkyvällä verkkosivulla.

Koska kolmansien osapuolien evästeet eivät liity tällä hetkellä näytettyyn verkkotunnukseen, niiden avulla mainostajat voivat koota käyttäjien online-historian. Mainosyritykset käyttävät sitten käyttäytymiseen tähtäävää kohdistettujen mainosten näyttämiseen. Sieltä se tulee monimutkaiseksi. Haluatko seurata Internetissä tapahtuvia liikkeitäsi vain saadaksesi sinulle paremmin sopivia mainoksia?

Poistovaihtoehdot

Jatkuvassa taistelussa mainostajat kehittävät jatkuvasti pysyviä evästeitä. Sitten turvallisuusasiantuntijat suunnittelevat uusia tapoja evästeiden asentamisen estämiseksi. Jokaisella selaimella on oma tapa käsitellä evästeitä. Tarkista web-selaimen asetukset tai asetukset-välilehti. Tietosuojaluvut viittaavat ainakin kolmansien osapuolien evästeiden kieltämiseen.

Viime vuonna otettiin hiljaisesti käyttöön uuden tyyppinen eväste. Sitä kutsutaan virallisesti nimellä Local Shared Object (LSO), jota yleisesti kutsutaan Flash-evästeeksi. Pysyvämpi kuin HTTP-evästeet, se vaatii Web-selaimen lisälaajennusten poistamisen.

Evästeiden sota jatkuu

Useimmiten käyttäjät hallitsevat, mitä evästeitä asennetaan. Se muuttuu. Tutkiessani artikkeliin löysin Samy Kamkarin (@samykamkar) verkkosivuston Evercookien - älä koskaan unohda. Otsikko kiinnitti huomioni. Mikä on Evercookie? Tässä on herra Kamkarin kuvaus:

"Evercookie on JavaScript-sovellusliittymä, joka tuottaa erittäin pysyviä evästeitä selaimessa. Sen tavoitteena on tunnistaa asiakas, vaikka hän olisi poistanut tavalliset evästeet, Flash-evästeet ja muut."

Taas se on menoa.

Perusteellinen analyysi

Jos nimi Samy Kamkar kuulostaa tutulta, se johtuu siitä, että hän tunnetaan parhaiten Samy-matoja, ensimmäistä XSS-matoa varten, joka tartuttaa yli miljoona käyttäjää MySpacessä alle 24 tunnissa. Tällä hetkellä hän on riippumaton tietoturvatutkija ja IP PBX -yrityksen Fonality Inc. -yrityksen perustaja.

Koska en ole asiantuntija web-selainten vuorovaikutuksessa evästeiden kanssa, mielestäni on parasta pyytää herra Kamkaria selittämään Evercookie:

TechRepublic : Mikä on Evercookie ja miksi kehitit sitä? Samy Kamkar : Evercookie on Javascript-sovellusliittymä, joka sallii evästeiden tietojen tallentamisen useisiin eri paikkoihin, kun käyttäjä käy verkkosivulla. Normaalit sivustot yleensä tallentavat vain tietoja (kuten istunnon tunnisteen) jotain evästettä.

Evercookie ei kuitenkaan käytä vain evästettä, vaan myös monia muita sijainteja, kuten Flash-evästeitä, Silverlight-eristettyä tallennustilaa ja HTML5-tallennustilan erilaisia ​​paikkoja. Kun käyttäjä poistaa tavalliset evästeet, muut sijainnit säilyvät ja pystyvät rakentamaan alkuperäisen evästeen uudelleen.

Rakensin Evercookien todisteeksi konseptista, haluamalla näyttää kuinka verkkosivustot pystyvät seuraamaan käyttäjiä, vaikka he poistaisivät tavalliset evästeet ja LSO: t. Evercookie valaisee myös sitä, että evästeiden paikalliselle tallentamiselle on olemassa lukuisia menetelmiä. Lopuksi, Evercookie toimii lakmustuksina käyttäjille, jotka haluavat nähdä, ovatko he suojattuja tämänkaltaisilta verkkosivustoilta. TechRepublic : Useat asiantuntijat ovat kommentoineet, että seuraavat kaksi tallennusmenetelmää ovat loistavasti petollisia.
  • Evästeiden tallentaminen automaattisen generoidun, välimuistiin tallennetun PNG: n RGB-arvoihin käyttämällä HTML5 Canvas -tunnistetta pikselien (evästeiden) lukemiseen
  • Evästeiden tallentaminen verkkohistoriaan

Voisitko selittää mitä ne ovat ja miksi asiantuntijat kokevat niin?

Samy Kamkar : Evästeiden tallentaminen PNG-kuvaan on mielenkiintoista, koska kuva on oikeastaan ​​vain dataa. Tallennettavat tiedot muunnetaan väriarvoiksi. Väriarvot on koottu yhteen kuvaan PNG-tiedoston tuottamiseksi.

Evercookie käskee sitten selainta tallentamaan kuvan 30 vuoden välimuistiin. Kun käyttäjä palaa sivustoon, kuvaa päästään välimuistiin ja sivu lukee sitten kukin kuvan pikseli, erottaen värit jokaisesta pikselistä. Värit muunnetaan takaisin tekstiin, joka tuottaa alkuperäiset evästeetiedot.

Evästeiden tallentaminen verkkohistoriaan käyttää mielenkiintoista verkkoselainten ominaisuutta.

Oletetaan, että evästeet, jotka haluamme tallentaa, ovat "bcde". Evercookie käyttää sitten seuraavia URL-osoitteita taustalla:

  • google.com/evercookie/cache/b
  • google.com/evercookie/cache/bc
  • google.com/evercookie/cache/bcd
  • google.com/evercookie/cache/bcde
  • google.com/evercookie/cache/bcde-

Nämä URL-osoitteet on nyt tallennettu selaimen historiaan. Kun etsit evästettä, Evercookie selaa kaikki mahdolliset merkit sivustossa google.com/Evercookie/cache/ aloittaen "a" ja siirtymällä ylöspäin, mutta vain yhdelle merkille.

Kun se näkee URL-osoitteen, johon on päästy, koska se on selaimen historiassa, se yrittää raa'asti pakottaa seuraavan kirjeen. Tämä prosessi tapahtuu erittäin nopeasti, koska kyseiselle palvelimelle ei tehdä pyyntöjä. Evercookie tietää, että se on saavuttanut merkkijonon lopun heti, kun se löytää URL-osoitteen, jonka lopussa on "-".

TechRepublic : Onko asennusprosessi automatisoitu vai onko käyttäjän aloitettava se? Samy Kamkar : Ei, asiakas käy vain verkkosivustolla. Ei ole merkkejä siitä, että pysyvää tietoa on asetettu, aivan kuten verkkosivusto, jossa on tavalliset HTTP-evästeet. TechRepublic : Jokaisessa selaimen versiossa on tapa surffata yksityisesti. Estääkö tämä Evercookietta tallentamasta evästettä mihin tahansa paikkaan, jonka olet valinnut käyttämään? Samy Kamkar : Suurin osa selainten yksityisistä selausominaisuuksista lopettaa melkein kaikki Evercookien ominaisuudet. Ongelmana on, että Evercookie tarvitsee vain yhden sijainnin, jotta välilehti pysyy käyttäjän päällä. Toivottavasti nämä ominaisuudet paranevat tulevissa versioissa ja estävät kaikkia näitä tallennusmenetelmiä. TechRepublic : Voidaanko Evercookie voittaa poistamalla JavaScriptin käytöstä tai käyttämällä sovellusta, kuten NoScript? Samy Kamkar : Kyllä, NoScript tai JavaScriptin poistaminen käytöstä estävät Evercookien luomista. TechRepublic : Käytän useampaa kuin yhtä selainta, toimiiko Evercookie, jos vaihdan toiseen, kun olen vastaanottanut Evercookien? Samy Kamkar : Jos käyttäjä evästeet yhdellä selaimella ja vaihtaa toiseen selaimeen, niin kauan kuin heillä on edelleen Local Shared Object -eväste, eväste toistuu molemmissa selaimissa. TechRepublic : Mainitsit paikalliset jaetut objektit (LSO). Poistavatko Evercookien LSO-version laajennukset, kuten FlashBlock, CCleaner tai Adoben Verkkosivuston tallennusasetukset -paneeli? Samy Kamkar : Vaikka nämä pysäyttävät LSO: n, se ei estä muita tallennusmenetelmiä, ja se vie vain yhden tallennusmekanismin täyden seurannan mahdollistamiseksi. TechRepublic: Olen lukenut muutamia kehittäjien kommentteja siitä, että Evercookie on tarkalleen mitä jotkut heidän asiakkaistaan ​​haluavat. Tiedätkö, onko tämä edelleen todiste konseptista vai käytetäänkö sitä todella? Samy Kamkar : En tiedä, käytetäänkö itse Evercookietta, mutta tiedän, että yritykset ovat jo käyttäneet samanlaisia, mutta vähemmän tehokkaita ohjelmistoja tätä varten. TechRepublic : Sinulla on mielenkiintoinen motto "Ajattele pahaa, tee hyvää". Voisitko selittää mitä tarkoitat? Samy Kamkar : Uskon yksinkertaisesti, että paras tapa suojella itseämme on ymmärtää, kuinka meitä voidaan ensinnäkin hyödyntää. TechRepublic : Sinua on myös lainattu sanomalla (Ars Technican kohteliaisuus):

"Toivon, että Evercookie yksinkertaisesti osoittaa ihmisille, minkä tyyppisiä menetelmiä niiden seuraamiseen käytetään ja päättääkseen, haluavatko ne estää näitä menetelmiä. Evercookien luominen minulle turvallisuusharrastajana vei alle päivän, joten voin vain Kuvittele tekniikka, jota rahoittamat kehittäjät tuottavat. "

Mitä mieltä olet evästeisiin liittyvistä vireillä olevista oikeudenkäynneistä ja niiden kyvystä seurata verkkomatkoja?

Samy Kamkar : En ole varma, että asia riittää, että oikeudenkäynnit ovat välttämättömiä, mutta uskon, että käyttäjillä pitäisi olla täysi oikeus estää verkkosivustoja seuraamasta niitä. Uskon myös, että selaimen avulla käyttäjän on erittäin helppo estää tällainen seuranta. Mikään selain ei kuitenkaan tällä hetkellä tee sitä helpoksi. Toivon, että Evercookie tuottaa uusia ominaisuuksia, jotka helpottavat Evercookien kaltaisen seurannan estämistä.

Evercookien poistaminen

Herra Kamkar oli oikeassa. Löysin kaksi tutkijaa, jotka ovat kehittäneet menetelmiä Evercookien poistamiseksi. Jeremiah Grossman, WhiteHat Securityn perustaja ja tekninen johtaja, on kirjoittanut blogin, jossa kerrotaan kuinka Evercookie poistetaan Chromesta ja Firefoxista. SensePostissa työskentelevä turvallisuuskonsultti Dominic White on kirjoittanut työkalun Evercookies-sovelluksen poistamiseksi Safarista.

Kysyin herra Kamkarilta, olivatko nämä todella ratkaisuja:

"Näyttää siltä, ​​että ne tarjoavat tietoja Evercookien poistamisesta. Se on juuri niin hankala ja vaikea prosessi, että tyypillinen käyttäjä ei käyttäisi niitä."

Lopulliset ajatukset

Evästeiden sota ei ole vielä ohi. Vaikuttaa siltä, ​​että tavanomaiset estämiskäytännöt eivät ole riittäviä, koska uudet sijainnit evästeet voidaan piilottaa. Ainoa varma ratkaisu on poistaa JavaScript käytöstä Evercookien asettamisen estämiseksi.

Erityinen kiitos herra Kamkarille - kysyin paljon kysymyksiä.

© Copyright 2020 | mobilegn.com