Kun nälkäinen naapuri löytää salaisen reseptisi, se oli aikoinaan suurin evästeitä ympäröivä yksityisyyden ongelma, mutta se muuttui Internetin ansiosta. Vaikka tavalliset selainevästeet ovat usein hyödyllisiä ja helposti tyhjennettäviä, on olemassa myös muita muunnelmia, jotka on rakennettu pitämään kiinni ja pitämään välilehtiä sinua. Kaksi näistä tyypeistä, superkookit ja zombie-evästeet (tunnetaan usein nimellä “Evercookies”), voi olla erityisen vaikea päästä eroon. Onneksi he eivät ole jääneet huomaamatta, ja selaimet kehittyvät torjumaan näitä hiukan seurantatekniikoita.
Tämä termi voi olla hieman hämmentävä, koska sitä on käytetty kuvaamaan useita erilaisia tekniikoita, joista vain osa on itse asiassa evästeitä. Yleensä se viittaa kuitenkin mihin tahansa, mikä muuttaa selausprofiiliasi saadaksesi yksilöllisen tunnuksen. Tällä tavoin ne käyttävät samaa toimintoa kuin evästeet, jolloin sivustot ja mainostajat voivat seurata sinua, mutta toisin kuin evästeet, niitä ei voida poistaa.
Kuulet useimmiten termin “supercookie”, jota käytetään viittaamaan yksilöllisiin tunnisteiden otsikoihin (UIDH) ja haavoittuvuutena HTTP Strict Transport Security -ohjelmassa tai HSTS: ssä, vaikka alkuperäinen termi viittaa evästeet, jotka ovat peräisin ylätason verkkotunnuksista. Tämä tarkoittaa, että eväste voidaan asettaa verkkotunnukselle, kuten “.com” tai “.co.uk”, jolloin kaikki verkkotunnukset, joilla on kyseisen verkkotunnuksen jälkiliite, näkevät sen.
Jos Google.com asettaa super-evästeen, kyseinen eväste näkyy muille .com-verkkosivustoille. Tämä on selkeä tietosuojakysymys, mutta koska se on muuten tavanomainen eväste, melkein kaikki modernit selaimet estävät ne oletuksena. Koska kukaan ei enää puhu paljon tällaisesta superkekseistä, kuulet yleensä enemmän kahdesta muusta.
Ainutlaatuisen tunnisteen otsikko (UIDH)
Ainutlaatuinen tunnisteotsikko ei ole lainkaan tietokoneellasi – se tapahtuu Internet-palveluntarjoajan ja verkkosivuston palvelinten välillä. Näin:
- Lähetät Internet-palveluntarjoajallesi pyynnön verkkosivustosta.
- Ennen kuin Internet-palveluntarjoajasi lähettää pyynnön edelleen palvelimelle, se lisää yksilöllisen tunnistemerkkijonon pyyntösi otsikkoon.
- Tämän merkkijonon avulla sivustot voivat tunnistaa sinut samaksi käyttäjäksi, kun vierailet, vaikka olet poistanut heidän evästeensä. Kun he tietävät kuka olet, he voivat vain laittaa samat evästeet suoraan takaisin selaimeesi.
Yksinkertaisin termein, Jos Internet-palveluntarjoaja käyttää UIDH-seurantaa, se lähettää henkilökohtaisen allekirjoituksesi jokaiselle vierailemallesi verkkosivustolle (tai ne, jotka ovat maksaneet Internet-palveluntarjoajalle siitä). Se on enimmäkseen hyödyllinen mainostulojen optimoinnissa, mutta se on riittävän invasiivinen FCC sakotti Verizonille 1,35 miljoonaa dollaria siitä, etteivät he ole ilmoittaneet siitä asiakkailleen tai antaneet heille mahdollisuuden kieltäytyä.
Verizonin lisäksi ei ole paljon tietoja siitä, mitkä yritykset käyttävät UIDH-tietoja, mutta kuluttajien takaisku on tehnyt siitä melko epäsuosittavan strategian. Vielä parempi, se toimii vain salaamattomilla HTTP-yhteyksillä, ja koska useimmat verkkosivustot käyttävät nyt oletusarvoisesti HTTPS: ää ja voit helposti ladata laajennuksia, kuten HTTPS Everywhere, tämä superkeksi ei todellakaan ole enää ongelma, eikä sitä todennäköisesti käytetä laajalti. Jos haluat lisäsuojaa, käytä VPN: ää. Tämä takaa, että pyyntösi välitetään verkkosivustolle ilman, että UIDH on liitetty.
HTTPS Strict Transfer Security (HSTS)
Tämä on harvinainen supercookie, jota ei ole erikseen tunnistettu missään tietyssä sivustossa, mutta ilmeisesti sitä hyödynnettiin, koska Apple korjasi Safarin sitä vastaan, mainitsemalla hyökkäyksen vahvistetut tapaukset.
HSTS on itse asiassa hyvä asia. Sen avulla selaimesi voi turvallisesti ohjata sivuston HTTPS-versioon suojaamattoman HTTP-version sijaan. Valitettavasti sitä voidaan käyttää myös luomaan supercookie, jolla on seuraava resepti:
- Luo paljon aliverkkotunnuksia (kuten “domain.com”, “subdomain2.domain.com” jne.).
- Määritä jokaiselle kävijälle pääsivullesi satunnaisluku.
- Pakota käyttäjät lataamaan kaikki aliverkkotunnuksesi lisäämällä ne sivun näkymättömiin pikseleihin tai ohjaamalla käyttäjän jokaisen aliverkkotunnuksen läpi sivua ladattaessa.
- Joidenkin aliverkkotunnusten kohdalla käske käyttäjän selainta käyttämään HSTS: ää vaihtamaan suojattuun versioon. Muille jätä verkkotunnus suojaamattomaksi HTTP: ksi.
- Jos aliverkkotunnuksen HSTS-käytäntö on käytössä, se lasketaan “1.” Jos se on pois päältä, se lasketaan arvoksi “0.” Tätä strategiaa käyttämällä sivusto voi kirjoittaa käyttäjän satunnaisnumeron binaariksi selaimen HSTS-asetuksiin.
- Aina kun vierailija palaa, sivusto tarkistaa käyttäjän selaimen HSTS-käytännöt, jotka palauttavat saman binaarisen numeron, joka alun perin luotiin, tunnistamaan käyttäjän.
Se kuulostaa monimutkaiselta, mutta mitä se tekee, on se, että verkkosivustot voivat saada selaimesi luomaan ja muistamaan suojausasetukset useille sivuille, ja seuraavan kerran kun vierailet, se voi kertoa kuka olet, koska kenelläkään muulla ei ole tarkkaa asetusten yhdistelmää .
Apple on jo keksinyt ratkaisuja tähän ongelmaan, esimerkiksi sallimalla HSTS-asetusten määrittämisen yhdelle tai kahdelle pääverkkotunnukselle sivustoa kohden ja rajoittamalla ketjutettujen uudelleenohjausten määrää, joita sivustot saavat käyttää. Muut selaimet todennäköisesti noudattavat näitä suojatoimenpiteitä (Firefoxin incognito-tila näyttää auttavan), mutta koska tästä ei ole vahvistettuja tapauksia, se ei ole tärkeintä useimmille. Voit ottaa asiat omiin käsiisi kaivaa joitain asetuksia ja tyhjentää HSTS-käytännöt manuaalisesti, mutta se siitä.
Zombie-evästeet ovat juuri sellaisia kuin ne kuulostavat – evästeet, jotka heräävät eloon sen jälkeen kun luulit olevasi poissa. Olet ehkä nähnyt niitä kutsuvan “Evercookiesiksi”, jotka eivät valitettavasti ole evästevastaava ikuinen Wonka gobstopper. “Evercookie” on itse asiassa JavaScript-sovellusliittymä luotu havainnollistamaan, kuinka monella eri tavalla evästeet voisivat kiertää poistamistoimiasi.
Zombie-evästeitä ei tyhjennetä, koska ne piiloutuvat tavallisen evästetallennustasi ulkopuolella. Paikallinen tallennustila on ensisijainen kohde (Adobe Flash ja Microsoft Silverlight käyttävät tätä paljon), ja myös HTML5-tallennustila voi olla ongelma. Elävät kuolleet evästeet voivat olla jopa verkkohistoriasi tai RGB-värikoodeina, jotka selaimesi sallii välimuistiinsa. Sivuston on vain löydettävä yksi piilotetuista evästeistä, ja se voi herättää muut.
Monet näistä turva-aukoista ovat kuitenkin kadonneet. Flash ja Silverlight eivät ole suuri osa modernia verkkosuunnittelua, ja monet selaimet eivät ole enää erityisen alttiita muille Evercookie-piilopaikoille. Koska on olemassa niin monia eri tapoja, että nämä evästeet voivat levittää tiensä järjestelmään, ei kuitenkaan ole yhtä tapaa suojata itseäsi. Kunnollinen tietosuojalaajennusten sarja ja hyvät selaimen tyhjentämistavat eivät kuitenkaan ole koskaan huono idea!
Odota, olemmeko turvassa vai emme?
Online-seurantatekniikka on jatkuva kilpailu huipulle, joten jos yksityisyys on jotain, joka koskee sinua, sinun pitäisi todennäköisesti vain tottua ajatukseen, että meille ei koskaan taata 100-prosenttista nimettömyyttä verkossa.
Sinun ei todennäköisesti tarvitse huolehtia liikaa superkekseistä, koska niitä ei nähdä luonnossa kovin usein ja ne estetään yhä enemmän. Toisaalta zombie-evästeistä / Evercookiesista on vaikea päästä eroon. Monet heidän tunnetuimmista keinoistaan on suljettu, mutta ne voivat silti toimia, kunnes jokainen haavoittuvuus on korjattu, ja he voivat aina löytää uusia tekniikoita.