Evercookie

Evercookie (также известные как supercookie[1]) — это интерфейс прикладного программирования (API) JavaScript, который идентифицирует и воспроизводит преднамеренно удаленные cookie-файлы в хранилище браузера пользователя.[2] Способ был создан Сами Камкар в 2010 году, чтобы продемонстрировать возможное проникновение с веб-сайтов, использующих восстановление cookie[3]. Веб-сайты, использующие этот механизм, могут идентифицировать пользователей, даже если они попытаются удалить ранее сохранённые cookie-файлы[4].

В 2013 году, Эдвард Сноуден обнародовал сверхсекретный документ NSA, который показал, что Evercookie может отслеживать пользователей Tor (анонимных сетей)[5]. Многие популярные компании используют функции, аналогичные Evercookie, для сбора информации и отслеживания пользователей.[1][6] Дальнейшие исследования в области снятия цифрового отпечатка устройства и поисковых систем также основаны на способности Evercookie постоянно отслеживать пользователя[4][5][7].

Бэкграунд

Существует три наиболее часто используемых хранилища данных, в том числе cookie-файлы, HTTP, файлы Flash cookie, хранилище HTML5 и другие[1][8]. Когда пользователь впервые посещает веб-сайт, веб-сервер может сгенерировать уникальный идентификатор и сохранить его в браузере пользователя или локальном пространстве.[9] Веб-сайт может считывать и идентифицировать пользователя при его будущих посещениях с помощью сохранённого идентификатора. И веб-сайт может сохранять предпочтения пользователя и отображать маркетинговую рекламу.[9] Из соображений конфиденциальности все основные браузеры включают механизмы для удаления и/или отказа от cookie-файлов с веб-сайтов[9][10].

В ответ на растущее нежелание пользователей принимать cookie-файлы многие веб-сайты используют методы, позволяющие обойти удаление cookie-файлов пользователями[11]. Начиная с 2009 года, многие исследовательские группы обнаружили, что популярные веб-сайты, включая hulu.com, foxnews.com, Spotify.com и т. д., используют флэш-куки (Flash Cookies), ETag и различные другие хранилища данных для восстановления удалённых пользователями cookie-файлов[1][12][13][14]. В 2010 году калифорнийский программист Сэми Камкар создал проект Evercookie, чтобы дополнительно проиллюстрировать механизм отслеживания с повторным появлением в различных механизмах хранения в браузерах[3].

Описание

Evercookie позволяет авторам веб-сайтов идентифицировать пользователей даже после того, как они попытались удалить cookie-файлы[15]. Сэми Камкар выпустил бета-версию evercookie версии 0.4 13 сентября 2010 г. с открытым исходным кодом[16][17][18]. Evercookie может повторно создавать удалённые cookie-файлы, HTTP, сохраняя cookie в нескольких различных системах хранения, обычно предоставляемых веб-браузерами[16]. Когда браузер посещает веб-сайт с API Evercookie на своем сервере, веб-сервер может сгенерировать идентификатор и сохранить его в различных механизмах хранения, доступных в этом браузере[2]. Если пользователь удаляет некоторые, но не все сохранённые идентификаторы в браузере и повторно посещает веб-сайт, веб-сервер извлекает идентификатор из областей хранения, которые пользователь не смог удалить[16]. Затем веб-сервер скопирует и восстановит этот идентификатор в ранее очищенные области хранения[19].

Злоупотребляя различными доступными механизмами хранения, Evercookie создаёт постоянные идентификаторы данных, поскольку пользователи вряд ли очищают все механизмы хранения[20]. Из списка, предоставленного Сэми Камкаром[16], для бета-версии Evercookie версии 0.4 можно использовать 17 механизмов хранения, если они доступны в браузерах:

  • Стандартные cookie-файлы HTTP
  • HTTP Strict Transport Security (HSTS)
  • Локальные общие объекты (Flash cookies)
  • Изолированное хранилище Silverlight
  • Хранение cookie-файлов, закодированных в значениях RGB автоматически сгенерированных, принудительно кэшированных изображений PNG с использованием тега HTML5 Canvas для обратного считывания пикселей (файлов cookie).
  • Сохранение cookie-файлов в истории поиска
  • Хранение cookie-файлов в HTTP ETag
  • Сохранение cookie-файлов в веб-кэше
  • Кэширование window.name
  • Хранилище пользовательских данных Internet Explorer
  • Веб-хранилище сеансов HTML5
  • Локальное веб-хранилище HTML5
  • Глобальное хранилище HTML5
  • База данных HTML5 Web SQL через SQLite
  • HTML5 IndexedDB
  • Java JNLP PersistenceService
  • Эксплойт Java CVE-2013-0422

Сэми Камкар утверждает, что он не собирался использовать проект Evercookie для нарушения конфиденциальности пользователей в Интернете или для продажи каким-либо сторонам для коммерческого использования. Тем не менее, он послужил источником вдохновения для других коммерческих веб-сайтов, которые позже внедрили аналогичные механизмы для восстановления cookie-файлов, удалённых пользователем. Проект включает HTML5 в качестве одного из механизмов хранения, который был выпущен за 6 месяцев до проекта и привлёк внимание общественности благодаря своей дополнительной устойчивости. Камкар хотел, чтобы его проект мог продемонстрировать, как современные инструменты отслеживания могут проникать в частную жизнь пользователей. На данный момент подключаемый модуль браузера Firefox «Anonymizer Nevercookie™» может блокировать повторное появление Evercookie[21][22].

Механизмы хранения, включённые в проект, постоянно обновляются, добавляя стойкость Evercookie. Поскольку Evercookie включает в себя множество существующих методов отслеживания, он предоставляет расширенный инструмент отслеживания данных, который снижает избыточность методов сбора данных многими коммерческими веб-сайтами[23][24]. Вдохновлённые этой идеей, все больше коммерческих веб-сайтов использовали идею Evercookie, добавляя к ней новые векторы хранения. В 2014 году исследовательская группа Принстонского университета провела крупномасштабное исследование трех инструментов постоянного отслеживания: Evercookie, снятие цифрового отпечатка с использованием Canvas и синхронизация cookie-файлов. Команда просканировала и проанализировала 100 000 лучших веб-сайтов Alexa и обнаружила новый вектор хранения IndexedDB, который встроен в механизм Evercookie и используется weibo.com. Команда заявила, что это первое обнаружение коммерческого использования IndexedDB. Кроме того, команда обнаруживает, что синхронизация cookie-файлов используется вместе с Evercookie. Синхронизация файлов cookie позволяет обмениваться данными между различными механизмами хранения, облегчая процесс повторного появления Evercookie в разных местах хранения в браузерах пользователей. Команда также обнаружила экземпляры файлов Flash cookie, повторно порождающих cookie-файлы HTTP, и cookie-файлы HTTP, повторно порождающие файлы Flash cookie на коммерческих веб-сайтах. Эти два механизма отличаются от проекта Evercookie количеством используемых механизмов хранения, но у них одинаковая идеология. Среди сайтов, которые просканировала исследовательская группа, 10 из 200 веб-сайтов использовали флэш-куки для восстановления cookie-файлов HTTP. Девять из наблюдаемых сайтов принадлежат Китаю (включая sina.com.cn, weibo.com, hao123.com, sohu.com, ifeng.com, youku.com, 56.com, letv.com и tudo.com). Другим идентифицированным веб-сайтом был yandex.ru, ведущая поисковая система в России.

Приложения

Исследовательская группа из Словацкого технологического университета предложила механизм, с помощью которого поисковые системы определяли бы предполагаемые поисковые слова пользователей Интернета и выдавали персонализированные результаты поиска. Часто запросы от пользователей Интернета содержат несколько значений и охватывают разные поля. В результате отображаемые результаты поиска из поисковой системы содержат множество информации, многие из которых не имеют отношения к пользователю создавшему запрос. Авторы предположили, что личность искателей и пользовательские предпочтения имеют четкое представление о значении запросов и могут значительно уменьшить неоднозначность поискового слова. Исследовательская группа создала модель на основе метаданных для извлечения информации о пользователях с помощью evercookie и интегрировала эту модель интересов пользователей в поисковую систему, чтобы улучшить персонализацию результатов поиска. Команда знала, что традиционные cookie-файлы могут быть легко удалены субъектами эксперимента, что приведёт к неполным данным эксперимента. Поэтому исследовательская группа использовала технологию Evercookie[4].

Спорные приложения

Иск о соблюдении конфиденциальности KISSMetrics

В пятницу, 29 июля 2011 г., исследовательская группа Калифорнийского университета в Беркли просканировала 100 лучших веб-сайтов США на основе QuantCast. Команда обнаружила KISSmetrics, сторонний веб-сайт, предоставляющий маркетинговые аналитические инструменты, который использовал cookie-файлы HTTP, cookie-файлы Flash, ETag и некоторые, но не все механизмы хранения, используемые в проекте Сами Камкар Evercookie для восстановления удалённой информации пользователя[1]. Другие популярные веб-сайты, такие как hulu.com и spotify.com, использовали KISSmetrics для повторного создания собственных cookie-файлов HTML5 и HTTP. Исследовательская группа заявила, что это был первый случай использования Etag в коммерческих целях.[14]

В тот же день после публикации отчёта, Hulu и Spotify объявили о приостановке использования KISSmetrics для дальнейшего расследования.[25] В пятницу два потребителя подали в суд на KISSmetrics за нарушение конфиденциальности пользователей[26]. KISSMetrics пересмотрела свою политику конфиденциальности в течение выходных, указав, что компания полностью уважает волю клиентов, если они отказываются от отслеживания. 4 августа 2011 г. генеральный директор KISSmetrics Хитен Шах отрицал внедрение KISSmetrics evercookie и других механизмов отслеживания, упомянутых в отчёте, и заявил, что компания использовала только законные сторонние средства отслеживания cookie-файлов[1]. 19 октября 2012 г. KISSmetrics согласилась выплатить более 500 000 долларов США для урегулирования обвинения и пообещала воздержаться от использования Evercookie[27][28].

Отслеживание Tor NSA

В 2013 году Эдвард Сноуден обнародовал внутреннюю презентацию (Агентство национальной безопасности (NSA)), предполагающую использование Evercookie в правительственной слежке для отслеживания пользователей Tor[5][29]. Блог TOR ответил на этот просочившийся документ одним сообщением, заверив, что пакеты браузера TOR и операционная система Tails обеспечивают надёжную защиту от evercookie[30][31].

Отношение общественности к отслеживанию данных

Evercookie и многие другие появившиеся новые технологии постоянного отслеживания данных являются ответом на тенденцию пользователей Интернета удалять хранилища cookie-файлов. В этой системе обмена информацией некоторые потребители считают, что они получают компенсацию за более персонализированную информацию, а иногда даже за финансовую компенсацию от связанных компаний[32]. Однако недавнее связанное исследование показывает разрыв между ожиданиями потребителей и маркетологов[33]. Журнал Wall Street показал, что 72 % опрошенных чувствуют себя обиженными, когда видят таргетированную рекламу во время работы в Интернете. Другой опрос показал, что 66 % американцев отрицательно относятся к тому, как маркетологи отслеживают их данные для получения индивидуальной информации. В другом опросе 52 % респондентов заявили, что хотели бы отключить поведенческую рекламу[34]. Однако поведение отслеживания данных сохранилось, поскольку оно предоставляет знания всем участникам рынка, дальнейшую капитализацию этих знаний в рыночные продукты и работу в окончательных маркетинговых действиях[35][36].

См. также

Примечания

  1. 1 2 3 4 5 6 Bujlow, Tomasz; Carela-Espanol, Valentin; Lee, Beom-Ryeol; Barlet-Ros, Pere (2017). A Survey on Web Tracking: Mechanisms, Implications, and Defenses. Proceedings of the IEEE. 105 (8): 1476–1510. doi:10.1109/jproc.2016.2637878. hdl:2117/108437. ISSN 0018-9219. S2CID 2662250.
  2. 1 2 Acar, Gunes; Eubank, Christian; Englehardt, Steven; Juarez, Marc; Narayanan, Arvind; Diaz, Claudia (2014). The Web Never Forgets. Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security - CCS '14. New York, New York, USA: ACM Press: 674–689. doi:10.1145/2660267.2660347. ISBN 978-1-4503-2957-6. S2CID 8127620.
  3. 1 2 Bashir, Muhammad Ahmad; Wilson, Christo (1 октября 2018). Diffusion of User Tracking Data in the Online Advertising Ecosystem. Proceedings on Privacy Enhancing Technologies. 2018 (4): 85–103. doi:10.1515/popets-2018-0033. ISSN 2299-0984. S2CID 52088002.
  4. 1 2 3 Kramár, Tomáš; Barla, Michal; Bieliková, Mária (1 февраля 2013). Personalizing search using socially enhanced interest model, built from the stream of user's activity. Journal of Web Engineering. 12 (1–2): 65–92. ISSN 1540-9589.
  5. 1 2 3 Kobusińska, Anna; Pawluczuk, Kamil; Brzeziński, Jerzy (2018). Big Data fingerprinting information analytics for sustainability. Future Generation Computer Systems. 86: 1321–1337. doi:10.1016/j.future.2017.12.061. ISSN 0167-739X. S2CID 49646910.
  6. Koop, Martin; Tews, Erik; Katzenbeisser, Stefan (1 октября 2020). In-Depth Evaluation of Redirect Tracking and Link Usage. Proceedings on Privacy Enhancing Technologies. 2020 (4): 394–413. doi:10.2478/popets-2020-0079. ISSN 2299-0984.
  7. Al-Fannah, Nasser Mohammed; Mitchell, Chris (7 января 2020). Too little too late: can we control browser fingerprinting?. Journal of Intellectual Capital. 21 (2): 165–180. doi:10.1108/jic-04-2019-0067. ISSN 1469-1930. S2CID 212957853.
  8. Zhiju, Yang; Chuan, Yue. A Comparative Measurement Study of Web Tracking on Mobile and Desktop Environments (англ.). Proceedings on Privacy Enhancing Technologies (1 апреля 2020). Дата обращения: 11 декабря 2020. Архивировано 27 августа 2016 года.
  9. 1 2 3 Yue, Chuan; Xie, Mengjun; Wang, Haining (Сентябрь 2010). An automatic HTTP cookie management system. Computer Networks. 54 (13): 2182–2198. doi:10.1016/j.comnet.2010.03.006. ISSN 1389-1286.
  10. fouad, Imane; Bielova, Nataliia; Legout, Arnaud; Sarafijanovic-Djukic, Natasa (1 апреля 2020). Missed by Filter Lists: Detecting Unknown Third-Party Trackers with Invisible Pixels. Proceedings on Privacy Enhancing Technologies. 2020 (2): 499–518. doi:10.2478/popets-2020-0038. ISSN 2299-0984.
  11. Cook, John; Nithyanand, Rishab; Shafiq, Zubair (1 января 2020). Inferring Tracker-Advertiser Relationships in the Online Advertising Ecosystem using Header Bidding. Proceedings on Privacy Enhancing Technologies. 2020 (1): 65–82. doi:10.2478/popets-2020-0005. ISSN 2299-0984.
  12. Acar, Gunes; Eubank, Christian; Englehardt, Steven; Juarez, Marc; Narayanan, Arvind; Diaz, Claudia (2014). The Web Never Forgets: Persistent Tracking Mechanisms in the Wild. Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security - CCS '14 (англ.). Scottsdale, Arizona, USA: ACM Press: 674–689. doi:10.1145/2660267.2660347. ISBN 978-1-4503-2957-6. S2CID 8127620.
  13. Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (10 августа 2009). Flash Cookies and Privacy (англ.). Rochester, NY. SSRN 1446862. {{cite journal}}: Cite journal требует |journal= (справка)
  14. 1 2 Ayenson, Mika D.; Wambach, Dietrich James; Soltani, Ashkan; Good, Nathan; Hoofnagle, Chris Jay (29 июля 2011). Flash Cookies and Privacy II: Now with HTML5 and ETag Respawning (англ.). Rochester, NY. SSRN 1898390. {{cite journal}}: Cite journal требует |journal= (справка)
  15. Andrés, José Angel González (1 июля 2011). Identity Denial in Internet. Inteligencia y Seguridad. 2011 (10): 75–101. doi:10.5211/iys.10.article6. ISSN 1887-293X.
  16. 1 2 3 4 Samy Kamkar - Evercookie. Дата обращения: 10 августа 2022. Архивировано 23 июня 2022 года.
  17. Evercookie source code. GitHub (13 октября 2010). Дата обращения: 28 октября 2010. Архивировано 27 сентября 2010 года.
  18. Schneier on Security - Evercookies (23 сентября 2010). Дата обращения: 28 октября 2010. Архивировано 2 октября 2010 года.
  19. Tackling Cross-Site Scripting (XSS) Attacks in Cyberspace, Securing Cyber-Physical Systems, CRC Press, pp. 350–367, 6 октября 2015, doi:10.1201/b19311-18, ISBN 978-0-429-09104-9, Дата обращения: 11 декабря 2020
  20. It is possible to kill the evercookie (27 октября 2010). Дата обращения: 10 августа 2022. Архивировано 19 апреля 2012 года.
  21. Vega, Tanzina (11 октября 2010). New Web Code Draws Concern Over Privacy Risks (Published 2010). The New York Times (амер. англ.). ISSN 0362-4331. Архивировано 10 августа 2022. Дата обращения: 6 декабря 2020.
  22. Lennon, Mike (10 ноября 2010). Nevercookie Eats Evercookie With New Firefox Plugin. Архивировано 13 февраля 2022. Дата обращения: 25 июля 2022.
  23. Nielsen, Janne (2 октября 2019). Experimenting with computational methods for large-scale studies of tracking technologies in web archives. Internet Histories. 3 (3–4): 293–315. doi:10.1080/24701475.2019.1671074. ISSN 2470-1475. S2CID 208121899.
  24. Samarasinghe, Nayanamana; Mannan, Mohammad (Ноябрь 2019). Towards a global perspective on web tracking. Computers & Security. 87: 101569. doi:10.1016/j.cose.2019.101569. ISSN 0167-4048. S2CID 199582679.
  25. Researchers Call Out Websites for Tracking Users via Stealth Tactics (амер. англ.). Berkeley Law. Дата обращения: 6 декабря 2020. Архивировано 9 ноября 2020 года.
  26. KISSmetrics, Hulu Sued Over New Tracking Technology (англ.). www.mediapost.com. Дата обращения: 6 декабря 2020. Архивировано 10 ноября 2020 года.
  27. KISSmetrics Settles Supercookies Lawsuit (англ.). www.mediapost.com. Дата обращения: 6 декабря 2020. Архивировано 22 июля 2020 года.
  28. Drury, Alexandra (2012). How Internet Users' Identities Are Being Tracked and Used. Tulane Journal of Technology & Intellectual Property (англ.). 15. ISSN 2169-4567. Архивировано 31 марта 2022. Дата обращения: 10 августа 2022.
  29. Tor stinks. edwardsnowden.com. Дата обращения: 10 августа 2022. Архивировано 10 августа 2022 года.
  30. TOR attacked – possibly by the NSA. Network Security. 2013 (8): 1–2. Август 2013. doi:10.1016/s1353-4858(13)70086-2. ISSN 1353-4858.
  31. Vlajic, Natalija; Madani, Pooria; Nguyen, Ethan (3 апреля 2018). Clickstream tracking of TOR users: may be easier than you think. Journal of Cyber Security Technology. 2 (2): 92–108. doi:10.1080/23742917.2018.1518060. ISSN 2374-2917. S2CID 169615236.
  32. Martin, Kelly D.; Murphy, Patrick E. (22 сентября 2016). The role of data privacy in marketing. Journal of the Academy of Marketing Science. 45 (2): 135–155. doi:10.1007/s11747-016-0495-4. ISSN 0092-0703. S2CID 168554897.
  33. Chen, G.; Cox, J. H.; Uluagac, A. S.; Copeland, J. A. (Third Quarter 2016). In-Depth Survey of Digital Advertising Technologies. IEEE Communications Surveys and Tutorials. 18 (3): 2124–2148. doi:10.1109/COMST.2016.2519912. ISSN 1553-877X. S2CID 32263374. Архивировано 10 августа 2022. Дата обращения: 10 августа 2022.
  34. Korolova, A. (Декабрь 2010). Privacy Violations Using Microtargeted Ads: A Case Study. 2010 IEEE International Conference on Data Mining Workshops: 474–482. doi:10.1109/ICDMW.2010.137. ISBN 978-1-4244-9244-2. S2CID 206785467. Архивировано 10 августа 2022. Дата обращения: 10 августа 2022.
  35. Mellet, Kevin; Beauvisage, Thomas (2 сентября 2019). Cookie monsters. Anatomy of a digital market infrastructure. Consumption Markets & Culture. 23 (2): 110–129. doi:10.1080/10253866.2019.1661246. ISSN 1025-3866. S2CID 203058303.
  36. Dataveillance and Countervailance, "Raw Data" Is an Oxymoron, The MIT Press, 2013, doi:10.7551/mitpress/9302.003.0009, ISBN 978-0-262-31232-5, Дата обращения: 11 декабря 2020
Эта статья взята у (из) Википедия. Текст лицензируется по Creative Commons Attribution-Share Alike 4.0. К медиа файлам могут применятся дополнительные условия.