Что такое суперкуки, зомби-куки и вечно-куки и вредны ли они?

Отслеживание всегда было одной из самых больших проблем конфиденциальности для пользователей файлов cookie , но ситуация изменилась благодаря Интернету. Хотя обычные файлы cookie браузера весьма полезны и их легко удалить , существуют и другие варианты, созданные для сохранения и отслеживания действий пользователей в Интернете. Двумя из этих вариантов являются суперкуки и печенья-зомби (широко известные как «вечные печенья»). Эти два варианта известны тем, что вызывают много трудностей у людей, желающих их удалить. К счастью, они «получили» соответствующее внимание со стороны экспертов по безопасности, и современные веб-браузеры постоянно совершенствуются для борьбы с этими сложными методами скрытого отслеживания.

Суперпеченье

Этот термин может немного сбивать с толку, поскольку он используется для описания ряда различных технологий, некоторые из которых на самом деле представляют собой файлы cookie. В общем, этот термин относится к вещам, которые переопределяют ваш профиль просмотра, чтобы дать вам уникальный идентификатор. Таким образом, они поддерживают те же функции, что и файлы cookie, позволяя веб-сайтам и рекламодателям отслеживать вас, но, в отличие от файлов cookie, их нельзя удалить.

Вы часто будете слышать термин «суперкуки», используемый в отношении заголовков уникальных идентификаторов (UIDH) и в качестве уязвимости в HTTP Strict Transport Security (HSTS), хотя исходная фраза относится к файлам cookie, исходящим из домена верхнего уровня . Это означает, что файл cookie может быть установлен для доменного имени, такого как «.com» или «.co.uk», что позволит любому веб-сайту с этим доменным суффиксом видеть его.

Если Google.com устанавливает суперкуки, этот файл cookie будет виден любому другому сайту «.com». Очевидно, это проблема конфиденциальности, но поскольку в остальном это обычные файлы cookie, большинство современных браузеров блокируют их по умолчанию. Поскольку об этом типе суперкуки больше никто не говорит, вы часто будете слышать больше о двух других (зомби-печенье и вечное печенье).

Заголовок уникального идентификатора (UIDH)

Заголовок уникального идентификатора обычно отсутствует на вашем компьютере, он появляется между вашим интернет-провайдером и сервером веб-сайта. Вот как создается UIDH:

1. Вы отправляете запрос на веб-сайт своему интернет-провайдеру.
2. Прежде чем ваш интернет-провайдер перенаправит запрос на сервер, он добавляет строку уникального идентификатора в заголовок вашего запроса.
3. Эта уникальная строка идентификатора позволяет веб-сайтам идентифицировать вас как одного и того же пользователя каждый раз, когда вы посещаете их, даже если вы удалили их файлы cookie. Как только веб-сайты узнают, кто вы, они просто устанавливают тот же файл cookie прямо в ваш браузер.

Проще говоря, если ваш интернет-провайдер использует отслеживание UIDH, он будет отправлять вашу личную «подпись» на каждый посещаемый вами веб-сайт. В основном это полезно для оптимизации доходов от рекламы, но это настолько раздражает, что FCC оштрафовала Verizon на 1,35 миллиона долларов за то, что она не проинформировала своих клиентов об этом или не предоставила эту информацию, предоставив им возможность отказаться.

За пределами Verizon данных о том, используют ли компании информацию в стиле UIDH, не так много, но негативная реакция потребителей сделала эту стратегию непопулярной. Даже он работает только с незашифрованными HTTP-соединениями. Кроме того, поскольку сегодня большинство веб-сайтов по умолчанию используют HTTPS, и вы можете легко загрузить надстройки, такие как HTTPS Everywhere, этот суперкуки больше не имеет большого значения и, вероятно, не будет широко использоваться. Если вам нужны дополнительные уровни защиты, используйте VPN . VPN гарантирует, что ваш запрос будет перенаправлен на веб-сайт без подключения UIDH.

Строгая безопасность передачи HTTPS (HSTS)

HSTS (HTTP Strict Transport Security) — это политика безопасности, необходимая для защиты веб-сайтов, защищенных HTTPS, от атак низкого уровня. HSTS гарантирует, что все подключения к веб-сайту шифруются с использованием протокола HTTPS и никогда не используют протокол HTTP. В настоящее время Google применяет HSTS к 45 доменам верхнего уровня, включая доменные имена, оканчивающиеся на .google, .how и .soy.

HSTS действительно хорошее решение. Это позволяет вашему браузеру безопасно перенаправляться на версию веб-сайта HTTPS вместо небезопасной версии HTTP. К сожалению, его также можно использовать для создания суперкуки по следующей формуле:

1. Создайте несколько субдоменов (например, «domain.com», «subdomain2.domain.com»…).
2. Назначьте каждому посетителю вашей главной страницы случайное число.
3. Заставьте пользователей загружать все ваши субдомены, добавив их в скрытые пиксели на странице, или перенаправляйте пользователей через каждый субдомен во время загрузки страницы.
4. Для некоторых поддоменов требуется, чтобы браузер пользователя использовал HSTS для переключения на безопасную версию. Некоторые другие оставляют домен как HTTP-небезопасный.
5. Если политика HSTS субдомена включена, она считается «1». Если он выключен, он считается «0». Используя эту стратегию, веб-сайт может записать случайный идентификационный номер пользователя в двоичном виде в настройках HSTS браузера.
6. Каждый раз, когда посетитель возвращается, веб-сайт проверяет политику HSTS в браузере пользователя, HSTS возвращает тот же исходный сгенерированный двоичный номер, который идентифицирует пользователя.

Звучит сложно, но вкратце, веб-сайт может заставить ваш браузер создавать и запоминать настройки безопасности для многих страниц, и при следующем посещении он может узнать, кто вы, с помощью данных.

Apple также представила решения этой проблемы, например, разрешив установку настроек HSTS только для одного или двух основных доменов на сайт и ограничив количество перенаправлений, которые сайтам разрешено использовать. Другие браузеры, вероятно, также будут следовать этим мерам безопасности (примером является режим инкогнито в Firefox), но, поскольку не было сделано никаких подтверждений относительно эффективности, это не является главным приоритетом для большинства браузеров. Вы можете решить проблемы самостоятельно, узнав больше о некоторых способах установки и удаления политик HSTS вручную.

Печенье-зомби/Evercookies

Файлы cookie-зомби, также известные как Evercookie, по сути, представляют собой API JavaScript, созданный для иллюстрации трудностей, с которыми вы можете столкнуться при попытке удалить файл cookie.

Файлы cookie «Зомби» не могут быть удалены, поскольку они скрыты за пределами вашего обычного хранилища файлов cookie. Локальное хранилище является основной целью файлов cookie Zombie ( Adobe Flash и Microsoft Silverlight часто используют его), и некоторые хранилища HTML5 также могут быть проблемой. Файлы cookie-зомби могут даже находиться в вашей истории просмотров или в цветовых кодах RGB , которые ваш браузер позволяет кэшировать.

Однако многие дыры в безопасности постепенно исчезают. Flash и Silverlight не являются важной частью современного веб-дизайна, и многие браузеры больше не уязвимы для Evercookie. Поскольку существует множество различных способов, которыми эти файлы cookie могут сталкиваться и «паразитировать» в вашей системе, защитить себя невозможно, но процедура очистки браузера никогда не является хорошей идеей.

Мы в безопасности или нет?

Разработка технологии онлайн-слежения — это постоянная гонка в современном мире безопасности, поэтому, если конфиденциальность — это то, что вас особенно беспокоит, вам, вероятно, следует привыкнуть к тому факту, что мы никогда не можем гарантировать 100% безопасность в онлайн-среде.

Однако вам не стоит слишком беспокоиться о суперкуки, поскольку они не слишком распространены и блокируются все более и более агрессивно. Эти файлы cookie остаются активными до тех пор, пока не будут устранены какие-либо уязвимости, и их всегда можно обновить с помощью новых технологий.

Узнать больше:

• Как удалить файлы cookie в Chrome для каждого веб-сайта
• Файлы cookie не повреждают ваш компьютер?
• Как удалить кеш и файлы cookie в Chrome, Firefox и Coc Coc
• Инструкции по удалению файлов cookie на ПК с Windows