Ce sunt supercookies, cookie-uri zombie și Evercookies și sunt o amenințare?

Was sind Supercookies, Zombie-Cookies und Evercookies und sind sie eine Bedrohung?

⌛ Reading Time: 5 minutes

Wenn ein neugieriger Nachbar Ihr Geheimrezept findet, war dies früher das größte Datenschutzproblem bei Cookies, aber das hat sich dank des Internets geändert. Während normale Browser-Cookies oft hilfreich und leicht zu löschen sind, gibt es andere Varianten, die so konzipiert sind, dass sie bei Ihnen bleiben und Sie im Auge behalten. Zwei dieser Arten, Supercookies und Zombie-Cookies (oft als „Evercookies“ bezeichnet), können besonders schwer zu entfernen sein. Glücklicherweise sind sie nicht unbemerkt geblieben, und die Browser entwickeln sich weiter, um diese hinterhältigeren Tracking-Techniken zu bekämpfen.

Supercookies

Dieser Begriff kann etwas verwirrend sein, da er zur Beschreibung verschiedener Technologien verwendet wurde, von denen nur einige tatsächlich Cookies sind. Im Allgemeinen bezieht es sich jedoch auf alles, was Ihr Browserprofil ändert, um Ihnen eine eindeutige ID zu geben. Auf diese Weise haben sie dieselbe Funktion wie Cookies, sodass Websites und Werbetreibende Sie verfolgen können. Im Gegensatz zu Cookies können sie jedoch nicht wirklich gelöscht werden.

Am häufigsten wird der Begriff “Supercookie” in Bezug auf UIDH (Unique Identifier Headers) und als Sicherheitslücke in HTTP Strict Transport Security (HSTS) verwendet, obwohl sich der ursprüngliche Begriff darauf bezieht Cookies, die von Top-Level-Domains stammen. Dies bedeutet, dass ein Cookie für eine Domain wie “.com” oder “.co.uk” gesetzt werden kann, sodass jede Website mit diesem Domain-Suffix es sehen kann.

Wenn Google.com einen Supercookie setzt, ist dieses Cookie für jede andere “.com” -Website sichtbar. Dies ist ein klares Datenschutzproblem, aber da es sich ansonsten um ein herkömmliches Cookie handelt, blockieren so ziemlich alle modernen Browser diese standardmäßig. Da niemand mehr viel über diese Art von Supercookie spricht, werden Sie im Allgemeinen mehr über die beiden anderen hören.

Unique Identifier Header (UIDH)

Ein eindeutiger Identifikator-Header befindet sich überhaupt nicht auf Ihrem Computer – er findet zwischen Ihrem ISP und den Servern einer Website statt. Hier ist wie:

  1. Sie senden eine Anfrage für eine Website an Ihren ISP.
  2. Bevor Ihr ISP die Anforderung an den Server weiterleitet, fügt er dem Header Ihrer Anforderung eine eindeutige ID-Zeichenfolge hinzu.
  3. Mit dieser Zeichenfolge können Websites Sie bei jedem Besuch als denselben Benutzer identifizieren, selbst wenn Sie deren Cookies gelöscht haben. Sobald sie wissen, wer Sie sind, können sie dieselben Cookies direkt wieder in Ihren Browser einfügen.

In einfachen Worten, Wenn ein ISP UIDH-Tracking verwendet, sendet er Ihre persönliche Signatur an jede Website, die Sie besuchen (oder diejenigen, die den ISP dafür bezahlt haben). Es ist hauptsächlich nützlich, um die Werbeeinnahmen zu optimieren, aber es ist invasiv genug, dass die Die FCC bestrafte Verizon mit einer Geldstrafe von 1,35 Mio. USD dafür, dass sie ihre Kunden nicht darüber informiert oder ihnen die Möglichkeit gegeben haben, sich abzumelden.

Abgesehen von Verizon gibt es nicht viele Daten darüber, welche Unternehmen UIDH-Informationen verwenden, aber die Gegenreaktion der Verbraucher hat es zu einer ziemlich unpopulären Strategie gemacht. Noch besser ist, dass es nur über unverschlüsselte HTTP-Verbindungen funktioniert. Da die meisten Websites jetzt standardmäßig HTTPS verwenden und Sie problemlos Erweiterungen wie HTTPS Everywhere herunterladen können, ist dieser Supercookie kein großes Problem mehr und wird wahrscheinlich nicht häufig verwendet. Wenn Sie zusätzlichen Schutz wünschen, verwenden Sie ein VPN. Dies garantiert, dass Ihre Anfrage ohne Ihre UIDH an die Website weitergeleitet wird.

HTTPS Strict Transfer Security (HSTS)

Dies ist eine seltene Art von Supercookie, die auf keiner bestimmten Site speziell identifiziert wurde, aber anscheinend ausgenutzt wurde, da Apple Safari dagegen gepatcht hat. unter Berufung auf bestätigte Fälle des Angriffs.

HSTS ist eigentlich eine gute Sache. Damit kann Ihr Browser sicher zur HTTPS-Version einer Site und nicht zur unsicheren HTTP-Version umleiten. Leider kann damit auch ein Supercookie mit folgendem Rezept erstellt werden:

  1. Erstellen Sie viele Subdomains (wie “domain.com”, “subdomain2.domain.com” usw.).
  2. Weisen Sie jedem Besucher Ihrer Hauptseite eine Zufallszahl zu.
  3. Erzwingen Sie, dass Benutzer alle Ihre Subdomains laden, indem Sie sie entweder in unsichtbaren Pixeln auf einer Seite hinzufügen oder den Benutzer beim Laden der Seite durch jede Subdomain umleiten.
  4. Weisen Sie für einige Subdomains den Browser des Benutzers an, HSTS zu verwenden, um zur sicheren Version zu wechseln. Für andere verlassen Sie die Domain als ungesichertes HTTP.
  5. Wenn die HSTS-Richtlinie einer Subdomain aktiviert ist, zählt sie als “1”. Wenn es ausgeschaltet ist, zählt es als “0”. Mit dieser Strategie kann die Site die zufällige ID-Nummer des Benutzers in den HSTS-Einstellungen des Browsers binär schreiben.
  6. Jedes Mal, wenn der Besucher zurückkehrt, überprüft die Site die HSTS-Richtlinien des Browsers eines Benutzers, der dieselbe Binärzahl zurückgibt, die ursprünglich generiert wurde, und den Benutzer identifiziert.

Es klingt komplex, aber es läuft darauf hinaus, dass Websites Ihren Browser dazu bringen können, Sicherheitseinstellungen für mehrere Seiten zu generieren und sich diese zu merken. Beim nächsten Besuch können Sie feststellen, wer Sie sind, da sonst niemand genau diese Kombination von Einstellungen hat .

Apple hat bereits Lösungen für dieses Problem gefunden, z. B. nur das Festlegen von HSTS-Einstellungen für einen oder zwei Hauptdomänennamen pro Site und das Begrenzen der Anzahl verketteter Weiterleitungen, die Sites verwenden dürfen. Andere Browser befolgen diese Sicherheitsmaßnahmen wahrscheinlich (der Firefox-Inkognito-Modus scheint zu helfen), aber da es keine bestätigten Fälle dafür gibt, hat dies für die meisten keine oberste Priorität. Sie können die Dinge selbst in die Hand nehmen Durchsuchen Sie einige Einstellungen und löschen Sie die HSTS-Richtlinien manuell, aber das war es schon.

Zombie-Kekse / Evercookies

Supercookies-Zombiecookie

Zombie-Cookies sind genau das, wonach sie klingen – Cookies, die wieder zum Leben erweckt werden, nachdem Sie dachten, sie wären verschwunden. Vielleicht haben Sie sie als “Evercookies” bezeichnet gesehen, die leider nicht das Cookie-Äquivalent eines ewigen Wonka-Gobstoppers sind. “Evercookie” ist eigentlich eine JavaScript-API Erstellt, um zu veranschaulichen, auf wie viele verschiedene Arten Cookies Ihre Löschbemühungen umgehen können.

Zombie-Cookies werden nicht gelöscht, da sie sich außerhalb Ihres regulären Cookie-Speichers verstecken. Lokaler Speicher ist ein Hauptziel (Adobe Flash und Microsoft Silverlight verwenden dies häufig), und einige HTML5-Speicher können ebenfalls ein Problem sein. Die lebenden toten Cookies können sich sogar in Ihrem Webprotokoll oder in RGB-Farbcodes befinden, die Ihr Browser in seinen Cache zulässt. Eine Website muss lediglich eines der versteckten Cookies finden und die anderen wiederbeleben.

Viele dieser Sicherheitslücken verschwinden jedoch. Flash und Silverlight sind kein wichtiger Bestandteil des modernen Webdesigns, und viele Browser sind nicht mehr besonders anfällig für andere Evercookie-Verstecke. Da es so viele verschiedene Möglichkeiten gibt, wie diese Cookies ihren Weg in Ihr System finden können, gibt es keine einzige Möglichkeit, sich selbst zu schützen. Eine anständige Suite von Datenschutzerweiterungen und gute Browser-Clearing-Gewohnheiten sind jedoch nie eine schlechte Idee!

Warten Sie, sind wir sicher oder nicht?

Die Online-Tracking-Technologie ist ein ständiger Wettlauf nach oben. Wenn Sie also an Datenschutz interessiert sind, sollten Sie sich wahrscheinlich nur an die Idee gewöhnen, dass uns online niemals 100% Anonymität garantiert wird.

Sie müssen sich wahrscheinlich nicht allzu viele Sorgen um Supercookies machen, da sie nicht sehr oft in freier Wildbahn gesehen werden und zunehmend blockiert werden. Auf der anderen Seite sind Zombie-Cookies / Evercookies schwerer loszuwerden. Viele ihrer bekannteren Wege wurden geschlossen, aber sie können möglicherweise noch funktionieren, bis jede einzelne Sicherheitsanfälligkeit behoben ist, und sie können immer neue Techniken entwickeln.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.