Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> อินเทอร์เน็ต

Supercookies, Zombie Cookies และ Evercookies คืออะไรและเป็นภัยคุกคามหรือไม่?

Supercookies, Zombie Cookies และ Evercookies คืออะไรและเป็นภัยคุกคามหรือไม่?

การมีเพื่อนบ้านที่มีจมูกยาวค้นหาสูตรลับของคุณเคยเป็นปัญหาด้านความเป็นส่วนตัวที่ใหญ่ที่สุดที่อยู่รอบ ๆ คุกกี้ แต่นั่นก็เปลี่ยนไปเพราะอินเทอร์เน็ต แม้ว่าคุกกี้ของเบราว์เซอร์ปกติจะมีประโยชน์และล้างได้ง่าย แต่ก็มีตัวแปรอื่นๆ ที่สร้างขึ้นเพื่อใช้งานและคอยติดตามคุณอยู่เสมอ คุกกี้ซุปเปอร์คุกกี้และคุกกี้ซอมบี้สองประเภท (มักเรียกว่า “Evercookies”) อาจกำจัดได้ยากเป็นพิเศษ โชคดีที่ยังไม่มีใครสังเกตเห็น และเบราว์เซอร์กำลังพัฒนาเพื่อต่อสู้กับเทคนิคการติดตามที่แอบแฝงเหล่านี้

ซุปเปอร์คุกกี้

Supercookies, Zombie Cookies และ Evercookies คืออะไรและเป็นภัยคุกคามหรือไม่?

คำนี้อาจทำให้สับสนเล็กน้อย เนื่องจากมีการใช้เพื่ออธิบายเทคโนโลยีต่างๆ ที่แตกต่างกัน ซึ่งจริงๆ แล้วมีเพียงบางส่วนเท่านั้นที่เป็นคุกกี้ โดยทั่วไปแล้ว จะหมายถึงอะไรก็ตามที่เปลี่ยนแปลงโปรไฟล์การท่องเว็บของคุณเพื่อให้คุณได้รับ ID ที่ไม่ซ้ำ ด้วยวิธีนี้พวกเขาให้บริการฟังก์ชันเดียวกันกับคุกกี้ ทำให้ไซต์และผู้โฆษณาติดตามคุณได้ แต่ไม่สามารถลบคุกกี้ได้อย่างแท้จริง

คุณมักจะได้ยินคำว่า “supercookie” ที่ใช้อ้างอิงถึง Unique Identifier Headers (UIDH) และเป็นช่องโหว่ใน HTTP Strict Transport Security หรือ HSTS แม้ว่าคำดั้งเดิมจะหมายถึงคุกกี้ที่มาจากโดเมนระดับบนสุด ซึ่งหมายความว่าสามารถตั้งค่าคุกกี้สำหรับโดเมน เช่น “.com” หรือ “.co.uk” ได้ โดยอนุญาตให้เว็บไซต์ใดๆ ที่มีส่วนต่อท้ายโดเมนนั้นมองเห็นได้

หาก Google.com ตั้งค่า supercookie คุกกี้นั้นจะปรากฏบนเว็บไซต์ “.com” อื่น ๆ นี่เป็นปัญหาความเป็นส่วนตัวที่ชัดเจน แต่เนื่องจากเป็นคุกกี้ทั่วไป เบราว์เซอร์สมัยใหม่เกือบทั้งหมดจึงบล็อกพวกเขาตามค่าเริ่มต้น เนื่องจากไม่มีใครพูดถึง supercookie ประเภทนี้มากนัก คุณมักจะได้ยินเกี่ยวกับอีก 2 อย่างนี้มากขึ้น

ส่วนหัวของตัวระบุที่ไม่ซ้ำ (UIDH)

ส่วนหัวของตัวระบุที่ไม่ซ้ำไม่ได้อยู่บนคอมพิวเตอร์ของคุณเลย - มันเกิดขึ้นระหว่าง ISP ของคุณและเซิร์ฟเวอร์ของเว็บไซต์ โดยใช้วิธี:

  1. คุณส่งคำขอสำหรับเว็บไซต์ไปยัง ISP ของคุณ
  2. ก่อนที่ ISP ของคุณจะส่งต่อคำขอไปยังเซิร์ฟเวอร์ ISP จะเพิ่มสตริงตัวระบุที่ไม่ซ้ำที่ส่วนหัวของคำขอของคุณ
  3. สตริงนี้ช่วยให้ไซต์สามารถระบุตัวตนของคุณว่าเป็นผู้ใช้คนเดียวกันทุกครั้งที่คุณเข้าชม แม้ว่าคุณจะลบคุกกี้ของพวกเขาไปแล้วก็ตาม เมื่อพวกเขารู้ว่าคุณเป็นใคร พวกเขาก็สามารถใส่คุกกี้เดิมกลับเข้าไปในเบราว์เซอร์ของคุณได้โดยตรง

กล่าวอย่างง่าย ๆ หาก ISP ใช้การติดตาม UIDH จะเป็นการส่งลายเซ็นส่วนตัวของคุณไปยังทุกเว็บไซต์ที่คุณเยี่ยมชม (หรือผู้ที่ชำระเงินให้ ISP สำหรับมัน) ส่วนใหญ่จะมีประโยชน์สำหรับการเพิ่มประสิทธิภาพรายได้จากโฆษณา แต่ก็เป็นการบุกรุกมากพอที่ FCC ปรับ Verizon 1.35 ล้าน USD เนื่องจากไม่แจ้งให้ลูกค้าทราบหรือให้ตัวเลือกแก่พวกเขาในการเลือกไม่ใช้

นอกเหนือจาก Verizon แล้ว ยังมีข้อมูลไม่มากนักที่บริษัทต่างๆ ใช้ข้อมูล UIDH แต่ฟันเฟืองของผู้บริโภคทำให้เป็นกลยุทธ์ที่ไม่เป็นที่นิยม ยิ่งไปกว่านั้น มันใช้งานได้กับการเชื่อมต่อ HTTP ที่ไม่ได้เข้ารหัสเท่านั้น และเนื่องจากเว็บไซต์ส่วนใหญ่ตอนนี้ใช้ HTTPS เป็นค่าเริ่มต้น และคุณสามารถดาวน์โหลดส่วนขยายต่างๆ เช่น HTTPS ได้ทุกที่ คุกกี้พิเศษนี้จึงไม่ใช่ปัญหามากนักและอาจไม่ได้มีการใช้กันอย่างแพร่หลาย หากคุณต้องการการปกป้องเป็นพิเศษ ให้ใช้ VPN สิ่งนี้รับประกันได้ว่าคำขอของคุณจะถูกส่งต่อไปยังเว็บไซต์โดยไม่ต้องแนบ UIDH ของคุณ

HTTPS Strict Transfer Security (HSTS)

นี่เป็น supercookie ที่หายากซึ่งไม่ได้รับการระบุอย่างเฉพาะเจาะจงในไซต์ใด ๆ แต่ดูเหมือนว่าจะถูกเอารัดเอาเปรียบ เนื่องจาก Apple ได้แก้ไข Safari กับมัน โดยอ้างถึงกรณีการโจมตีที่ได้รับการยืนยัน

HSTS เป็นสิ่งที่ดีจริงๆ ช่วยให้เบราว์เซอร์ของคุณเปลี่ยนเส้นทางไปยังเว็บไซต์เวอร์ชัน HTTPS ได้อย่างปลอดภัย แทนที่จะเป็นเวอร์ชัน HTTP ที่ไม่ปลอดภัย น่าเสียดายที่มันสามารถใช้สร้าง supercookie ด้วยสูตรต่อไปนี้:

  1. สร้างโดเมนย่อยจำนวนมาก (เช่น “domain.com,” “subdomain2.domain.com” เป็นต้น)
  2. กำหนดหมายเลขสุ่มให้ผู้เยี่ยมชมแต่ละคนในหน้าหลักของคุณ
  3. บังคับให้ผู้ใช้โหลดโดเมนย่อยทั้งหมดของคุณโดยเพิ่มลงในพิกเซลที่มองไม่เห็นบนหน้าเว็บหรือเปลี่ยนเส้นทางผู้ใช้ผ่านแต่ละโดเมนย่อยขณะโหลดหน้าเว็บ
  4. สำหรับโดเมนย่อยบางโดเมน แจ้งให้เบราว์เซอร์ของผู้ใช้ใช้ HSTS เพื่อเปลี่ยนเป็นเวอร์ชันที่ปลอดภัย สำหรับผู้อื่น ปล่อยให้โดเมนเป็น HTTP ที่ไม่ปลอดภัย
  5. หากเปิดใช้นโยบาย HSTS ของโดเมนย่อย ระบบจะนับเป็น "1" หากปิดอยู่ จะนับเป็น “0” เมื่อใช้กลยุทธ์นี้ เว็บไซต์สามารถเขียนหมายเลขรหัสสุ่มของผู้ใช้เป็นเลขฐานสองในการตั้งค่า HSTS ของเบราว์เซอร์
  6. ทุกครั้งที่ผู้เยี่ยมชมกลับมา ไซต์จะตรวจสอบนโยบาย HSTS ของเบราว์เซอร์ของผู้ใช้ ซึ่งจะส่งคืนเลขฐานสองเดียวกันกับที่สร้างขึ้นในตอนแรก เพื่อระบุตัวผู้ใช้

ฟังดูซับซ้อน แต่ประเด็นคือ เว็บไซต์สามารถให้เบราว์เซอร์ของคุณสร้างและจดจำการตั้งค่าความปลอดภัยสำหรับหลาย ๆ หน้า และครั้งต่อไปที่คุณเยี่ยมชม เว็บไซต์สามารถบอกได้ว่าคุณเป็นใครเพราะไม่มีใครมีการตั้งค่าแบบผสมกัน .

Apple ได้คิดหาวิธีแก้ไขปัญหานี้แล้ว เช่น อนุญาตให้ตั้งค่า HSTS สำหรับชื่อโดเมนหลักหนึ่งหรือสองชื่อต่อหนึ่งไซต์และจำกัดจำนวนการเปลี่ยนเส้นทางแบบลูกโซ่ที่อนุญาตให้ใช้ไซต์ได้ เบราว์เซอร์อื่นๆ มีแนวโน้มที่จะปฏิบัติตามมาตรการรักษาความปลอดภัยเหล่านี้ (ดูเหมือนว่าโหมดไม่ระบุตัวตนของ Firefox จะช่วยได้) แต่เนื่องจากไม่มีกรณีใดๆ ที่ได้รับการยืนยันจากเหตุการณ์นี้ จึงไม่มีความสำคัญสูงสุดสำหรับคนส่วนใหญ่ คุณจัดการเรื่องต่างๆ ได้เองโดยเจาะลึกการตั้งค่าบางอย่างและล้างนโยบาย HSTS ด้วยตนเอง แต่นั่นก็เท่านั้น

คุกกี้ซอมบี้/Evercookies

Supercookies, Zombie Cookies และ Evercookies คืออะไรและเป็นภัยคุกคามหรือไม่?

คุกกี้ซอมบี้เป็นสิ่งที่ดูเหมือน - คุกกี้ที่จะฟื้นคืนชีพหลังจากที่คุณคิดว่ามันหายไป คุณอาจเคยเห็นพวกเขาเรียกว่า “Evercookies” ซึ่งไม่ใช่คุกกี้ที่เทียบเท่ากับ gobstopper นิรันดร์ของ Wonka จริงๆ แล้ว “Evercookie” เป็น JavaScript API ที่สร้างขึ้นเพื่อแสดงให้เห็นว่าคุกกี้สามารถหลีกเลี่ยงความพยายามในการลบได้หลายวิธี

คุกกี้ซอมบี้จะไม่ถูกล้างเพราะพวกมันซ่อนอยู่นอกพื้นที่จัดเก็บคุกกี้ปกติของคุณ พื้นที่จัดเก็บในเครื่องเป็นเป้าหมายหลัก (Adobe Flash และ Microsoft Silverlight ใช้สิ่งนี้เป็นจำนวนมาก) และพื้นที่จัดเก็บ HTML5 บางส่วนอาจเป็นปัญหาได้เช่นกัน คุกกี้ที่ตายแล้วยังมีชีวิตสามารถอยู่ในประวัติเว็บของคุณหรือในรหัสสี RGB ที่เบราว์เซอร์ของคุณอนุญาตให้เข้าสู่แคช ทั้งหมดที่เว็บไซต์ต้องทำคือค้นหาคุกกี้ที่ซ่อนอยู่ตัวใดตัวหนึ่งและสามารถชุบชีวิตคุกกี้อื่นได้

แม้ว่าช่องโหว่ด้านความปลอดภัยจำนวนมากจะหายไป Flash และ Silverlight ไม่ใช่ส่วนสำคัญของการออกแบบเว็บสมัยใหม่ และเบราว์เซอร์จำนวนมากก็ไม่เสี่ยงต่อที่ซ่อน Evercookie อื่นๆ อีกต่อไป เนื่องจากมีหลายวิธีที่แตกต่างกันมากที่คุกกี้เหล่านี้สามารถพังลงในระบบของคุณได้ ดังนั้นจึงไม่มีทางเดียวที่จะป้องกันตัวเองได้ ชุดส่วนขยายความเป็นส่วนตัวที่เหมาะสมและนิสัยการล้างเบราว์เซอร์ที่ดีนั้นไม่ใช่ความคิดที่เลวเลย!

เดี๋ยวก่อน เราปลอดภัยหรือไม่

เทคโนโลยีการติดตามออนไลน์เป็นการแข่งขันที่เสมอต้นเสมอปลาย ดังนั้นหากความเป็นส่วนตัวคือสิ่งที่คุณกังวล คุณควรทำความคุ้นเคยกับแนวคิดที่ว่าเราไม่เคยรับประกันว่าจะไม่เปิดเผยตัวตนทางออนไลน์ 100%

คุณอาจไม่จำเป็นต้องกังวลมากเกินไปเกี่ยวกับซุปเปอร์คุกกี้ เนื่องจากไม่ได้พบเห็นพวกมันในป่าบ่อยนักและกำลังถูกบล็อกมากขึ้นเรื่อยๆ ในทางกลับกัน คุกกี้ซอมบี้/Evercookies นั้นยากต่อการกำจัด เส้นทางที่เป็นที่รู้จักมากขึ้นหลายแห่งได้ปิดตัวลงแล้ว แต่ก็ยังสามารถทำงานได้จนกว่าจะมีการแก้ไขช่องโหว่ทุกจุด และพวกเขาก็สามารถคิดค้นเทคนิคใหม่ๆ ได้เสมอ