В марте 2016 года FCC поразил Verizon штрафом в 1,35 миллиона долларов за отслеживание клиентов с уникальным идентификатором заголовка (UIDH), также известным как «supercookie». Это была большая новость, когда FCC заставила Verizon разрешить клиентам отказаться от отслеживание. Но что такое супер-печенье? Почему супер-печенье хуже обычного печенья?
Вот что вам нужно знать о супер-печенье и как его удалить.
Что такое печенье?
Чтобы понять, что такое супер-печенье, вы должны понимать, что такое обычные куки-файлы. Файл cookie HTTP, обычно известный как файл cookie, представляет собой небольшой фрагмент кода, который загружается в браузер пользователя при посещении веб-сайта. Файл cookie хранит небольшие фрагменты информации, полезные для веб-сайта, пользователя и взаимодействия между ними.
Например, когда вы помещаете товары в свою корзину покупок Amazon, они хранятся в файле cookie. Если вы покинете Amazon, когда вы вернетесь, ваши товары останутся в вашей корзине. Файл cookie отправляет эту информацию обратно в Amazon, когда вы возвращаетесь на сайт.
Обычные cookie-файлы также выполняют и другие функции, например, сообщают веб-сайту, что вы уже вошли в систему, поэтому вам не придется снова входить в систему, когда вы вернетесь. Более спорно, сторонние файлы слежения за вами по всему Интернету, Докладывая маркетинга и других компаний о том, что вы до онлайн.
Что такое Supercookie?
Supercookie — это файл cookie для отслеживания, но он имеет более зловещее применение. Supercookies также отличаются по функциональности от обычных cookie.
С помощью обычных файлов cookie, если вы не хотите, чтобы они следили за вами по всему Интернету, вы можете очистить данные о просмотре, файлы cookie и многое другое. Вы можете заблокировать файлы cookie и файлы cookie сторонних производителей в своем браузере и автоматически удалять файлы cookie после завершения сеанса браузера. Вы должны снова зайти на каждый сайт, и ваша корзина покупок не будет храниться, но это также означает, что отслеживающие куки больше отслеживают вас.
Supercookie отличается. Очистка ваших данных просмотра не помогает. Это потому, что супер-куки на самом деле не печенье; он не хранится в вашем браузере.
Вместо этого провайдер вставляет часть информации, уникальную для соединения пользователя, в заголовок HTTP. Информация однозначно идентифицирует любое устройство. В случае Verizon это позволило отслеживать каждый посещенный веб-сайт.
Поскольку Интернет-провайдер внедряет супер-куки между устройством и сервером, к которому он подключается, пользователь ничего не может с этим поделать. Вы не можете удалить его, потому что он не хранится на вашем устройстве. Программное обеспечение для блокировки рекламы и скриптов не может остановить это, потому что это происходит после того, как запрос покидает устройство.
Опасности Supercookies
Потенциал нарушения конфиденциальности здесь должен быть очевиден — в большинстве случаев файлы cookie связаны с одним веб-сайтом и не могут использоваться совместно с другим сайтом. UIDH может быть раскрыт на любом веб-сайте и содержит потенциально огромное количество информации о привычках и истории пользователя. Verizon рекламировал эту возможность и своим партнерам. Весьма вероятно, что это конкретное использование супер-куки предназначено для сбора большого количества данных для его продажи.
Electronic Frontier Foundation (EFF) также отмечает, что рекламодатели могут использовать супер-куки для восстановления своих удаленных файлов cookie с устройства пользователя и связывать их с новыми, обходя стратегии, которые пользователи могут использовать для предотвращения отслеживания:
[S] предположим, что рекламная сеть присвоила вам файл cookie с уникальным значением «cookie1», а Verizon назначил вам заголовок X-UIDH «old_uid». Когда Verizon меняет заголовок X-UIDH на новое значение, скажем «new_uid» рекламная сеть может подключить «new_uid» и «old_uid» к одному и тому же значению cookie «cookie1» и увидеть, что все три значения представляют одного и того же человека. Точно так же, если вы впоследствии удалите куки, рекламная сеть назначит новое значение куки «cookie2». Поскольку ваше значение X-UIDH одинаково (скажем, «new_uid») до и после очистки куки, рекламная сеть может подключиться «cookie1». »И« cookie2 »к одному и тому же значению X-UIDH« new_uid ». Начальная загрузка идентификатора не позволяет по-настоящему очистить историю отслеживания, пока включен заголовок X-UIDH.
В том же сообщении в блоге EFF также отмечает, что UIDH может также применяться к данным, отправляемым из приложений, что не так легко отследить в противном случае. Комбинация позволяет создать детальную картину использования Интернета пользователем. Verizon также обходит настройки «Ограничить отслеживание рекламы» на iOS и Android. Пропуск этого ограничения усугубляет потенциальные нарушения конфиденциальности, которые совершают супер-куки.
Какие данные отправляет Supercookie?
Supercookie содержит информацию о запросе, сделанном пользователем, например, о веб-сайте, который он пытается посетить, и времени, когда запрос был сделан. Это известно как метаданные (и очень похоже на метаданные, собранные АНБ из записей сотовых телефонов). Но супер-печенье может включать и другие типы данных.
Независимо от точного типа данных, если Verizon понесет утечку данных и эти файлы cookie будут привязаны к конкретным пользователям, это станет кошмаром конфиденциальности. EFF уже обнаружил, что хешированные номера телефонов использовались в качестве идентификаторов пользователей, что является тревожным признаком. Хакеры, другие компании или правительственные организации хотели бы получить информацию такого рода.
Тот факт, что Verizon была одной из компаний, участвующих в программе PRISM АНБ, только вызывает еще большее беспокойство.
Что такое печенье зомби?
Зомби-cookie — это еще один тип supercookie. Как следует из названия, вы не можете убить зомби печенье. И когда вы думаете, что убили его, зомби-печенье может вернуться к жизни.
Файл cookie зомби остается неизменным, поскольку он скрывается за пределами обычного хранилища файлов cookie вашего браузера. Файлы cookie Zombie предназначены для локального хранилища, хранилища HTML5, значений цветового кода RGB, хранилища Silverlight и многого другого. Вот почему они известны как зомби печенье. Рекламодатель должен найти существующий файл cookie только в одном из этих мест, чтобы воскресить остальные. Если пользователь не может удалить один файл cookie-зомби из какого-либо места хранения, он возвращается на круги своя.
Как удалить суперкуки
Supercookies хранит много информации о вас. Некоторые могут воскресить удаленные обычные куки, а некоторые не сохраняются на вашем устройстве. Что, черт возьми, вы можете с ними поделать?
К сожалению, ответ для некоторых типов суперкуки — «не очень».
Verizon позволяет подписчикам отказаться от отслеживания UIDH. Если вы являетесь пользователем Verizon, зайдите на сайт www.vzw.com/myprivacy , войдите в свою учетную запись и перейдите в раздел «Соответствующая мобильная реклама». Выберите «Нет, я не хочу участвовать в релевантной мобильной рекламе». Обратите внимание, что отказ от участия фактически не отключает заголовок. Это только говорит Verizon не делиться подробной демографической информацией с рекламодателями, которые ищут значение UIDH. Кроме того, если вы участвуете в программе Verizon Selects, UIDH останется активным даже после отказа.
Если интернет-провайдер решит использовать супер-куки UIDH-уровня, чтобы отследить вас, вам в основном не повезло. Если кто-то отслеживает вас с помощью супер-куки, лучше всего использовать VPN для создания зашифрованного соединения между вами и остальным интернетом. HTTPS является практически стандартом де-факто для просмотра веб-страниц, который также защищает ваш интернет-трафик от злоумышленников. Там, где это возможно, всегда используйте HTTPS через базовое HTTP-соединение.
В противном случае, ознакомьтесь с разделом «Лучшие инструменты безопасности браузера» в руководстве , где представлены лучшие антивирусные приложения и программы
Онлайн отслеживание опасно
UIDHs представляют серьезную угрозу для конфиденциальности в Интернете. Они не хранятся на вашем компьютере, могут однозначно идентифицировать ваш веб-трафик и их чрезвычайно сложно обнаружить. Использование HTTPS и VPN помогает, но интернет-пользователям нужно строгое законодательство, требующее, чтобы интернет-провайдеры позволяли нам отказаться от таких программ отслеживания, если не остановить вообще опасные, агрессивные программы отслеживания. Законодатели в американском штате Мэн недавно приняли законопроект, запрещающий интернет-провайдерам продавать частные интернет-данные рекламодателям.
Беспокоитесь по поводу отслеживания в Facebook? Вот как вы останавливаете отслеживание Facebook ваших онлайн движений