Cosa sono i supercookies, i cookie zombi e gli evercookie e sono una minaccia?

Ce sunt supercookies, cookie-uri zombie și Evercookies și sunt o amenințare?
⏱️ 6 min read

Avere un vicino ficcanaso che trova la tua ricetta segreta era il più grande problema di privacy intorno ai cookie, ma questo è cambiato grazie a Internet. Mentre i normali cookie del browser sono spesso utili e facili da cancellare, ci sono altre varianti che sono state create per restare e tenerti d’occhio. Due di questi tipi, i supercookies e i biscotti zombi (spesso noti come “Evercookies”), possono essere particolarmente difficili da eliminare. Fortunatamente, non sono passati inosservati e i browser si stanno evolvendo per combattere queste tecniche di tracciamento più subdole.

Supercookies

Questo termine può creare un po ‘di confusione poiché è stato utilizzato per descrivere diverse tecnologie diverse, solo alcune delle quali sono effettivamente cookie. In generale, tuttavia, si riferisce a tutto ciò che cambia il tuo profilo di navigazione per darti un ID univoco. In questo modo hanno la stessa funzione dei cookie, consentendo a siti e inserzionisti di rintracciarti, ma a differenza dei cookie, non possono essere realmente cancellati.

Molto spesso sentirai il termine “supercookie” utilizzato in riferimento a Unique Identifier Headers (UIDH) e come vulnerabilità in HTTP Strict Transport Security, o HSTS, sebbene il termine originale si riferisca a cookie che provengono da domini di primo livello. Ciò significa che un cookie potrebbe essere impostato per un dominio come “.com” o “.co.uk”, consentendo a qualsiasi sito web con quel suffisso di dominio di vederlo.

Se Google.com imposta un supercookie, quel cookie sarebbe visibile a qualsiasi altro sito web “.com”. Questo è un chiaro problema di privacy, ma poiché altrimenti è un cookie convenzionale, praticamente tutti i browser moderni li bloccano per impostazione predefinita. Dal momento che nessuno parla più molto di questo tipo di supercookie, generalmente sentirai di più sugli altri due.

Intestazione identificatore univoco (UIDH)

Un’intestazione dell’identificatore univoco non è affatto sul tuo computer: avviene tra il tuo ISP ei server di un sito web. Ecco come:

  1. Si invia una richiesta per un sito Web al proprio ISP.
  2. Prima che il tuo ISP inoltri la richiesta al server, aggiunge una stringa identificativa univoca all’intestazione della tua richiesta.
  3. Questa stringa consente ai siti di identificarti come lo stesso utente ogni volta che visiti, anche se hai cancellato i loro cookie. Una volta che sanno chi sei, possono semplicemente reinserire gli stessi cookie nel tuo browser.

In parole povere, se un ISP utilizza il monitoraggio UIDH, invia la tua firma personale a ogni sito web che visiti (o quelli che hanno pagato l’ISP per questo). È principalmente utile per ottimizzare le entrate pubblicitarie, ma è abbastanza invasivo che il La FCC ha multato Verizon di 1,35 milioni di dollari per non averne informato i clienti o per non aver dato loro la possibilità di rinunciare.

A parte Verizon, non ci sono molti dati su quali aziende stiano utilizzando le informazioni UIDH, ma il contraccolpo dei consumatori l’ha resa una strategia abbastanza impopolare. Ancora meglio, funziona solo su connessioni HTTP non crittografate e poiché la maggior parte dei siti Web ora utilizza HTTPS per impostazione predefinita e puoi facilmente scaricare estensioni come HTTPS Everywhere, questo supercookie non è più un grosso problema e probabilmente non è ampiamente utilizzato. Se desideri una protezione aggiuntiva, utilizza una VPN. Ciò garantisce che la tua richiesta verrà inoltrata al sito Web senza il tuo UIDH allegato.

HTTPS Strict Transfer Security (HSTS)

Questo è un raro tipo di supercookie che non è stato specificamente identificato su un sito in particolare, ma a quanto pare è stato sfruttato, da quando Apple ha patchato Safari contro di esso, citando istanze confermate dell’attacco.

L’HSTS è effettivamente una buona cosa. Consente al browser di reindirizzare in modo sicuro alla versione HTTPS di un sito anziché alla versione HTTP non sicura. Purtroppo può essere utilizzato anche per creare un supercookie con la seguente ricetta:

  1. Crea molti sottodomini (come “dominio.com”, “sottodominio2.dominio.com” e così via).
  2. Assegna a ogni visitatore della tua pagina principale un numero casuale.
  3. Forza gli utenti a caricare tutti i tuoi sottodomini aggiungendoli in pixel invisibili su una pagina o reindirizzando l’utente attraverso ogni sottodominio durante il caricamento della pagina.
  4. Per alcuni sottodomini, dì al browser dell’utente di utilizzare HSTS per passare alla versione sicura. Per altri, lascia il dominio come HTTP non protetto.
  5. Se il criterio HSTS di un sottodominio è attivato, conta come “1”. Se è spento, conta come uno “0” Utilizzando questa strategia, il sito può scrivere il numero ID casuale dell’utente in formato binario nelle impostazioni HSTS del browser.
  6. Ogni volta che il visitatore ritorna, il sito controllerà le politiche HSTS del browser di un utente, che restituirà lo stesso numero binario che è stato originariamente generato, identificando l’utente.

Sembra complesso, ma ciò a cui si riduce è che i siti web possono far sì che il tuo browser generi e ricordi le impostazioni di sicurezza per più pagine, e la prossima volta che visiti, può dire chi sei perché nessun altro ha quella esatta combinazione di impostazioni .

Apple ha già trovato soluzioni a questo problema, come consentire l’impostazione delle impostazioni HSTS solo per uno o due nomi di dominio principali per sito e limitare il numero di reindirizzamenti concatenati che i siti possono utilizzare. È probabile che altri browser seguano queste misure di sicurezza (la modalità di navigazione in incognito di Firefox sembra aiutare), ma poiché non ci sono casi confermati che ciò accada, non è una priorità assoluta per la maggior parte. Puoi prendere in mano la situazione scavando in alcune impostazioni e cancellando manualmente i criteri HSTS, ma questo è tutto.

Biscotti zombie / Evercookies

supercookies-zombiecookie

I biscotti zombi sono esattamente come suonano: biscotti che tornano in vita dopo aver pensato che fossero spariti. Potresti averli visti denominati “Evercookies”, che sfortunatamente non sono l’equivalente cookie di un gobstopper eterno di Wonka. “Evercookie” è in realtà un’API JavaScript creato per illustrare in quanti modi diversi i cookie potrebbero aggirare i tuoi sforzi di cancellazione.

I cookie zombi non vengono cancellati perché si nascondono al di fuori della normale memoria dei cookie. L’archiviazione locale è un obiettivo principale (Adobe Flash e Microsoft Silverlight lo usano molto) e anche alcuni archivi HTML5 possono essere un problema. I cookie morti viventi possono persino essere nella cronologia web o nei codici colore RGB che il tuo browser consente nella sua cache. Tutto ciò che un sito web deve fare è trovare uno dei cookie nascosti e può resuscitare gli altri.

Tuttavia, molti di questi buchi nella sicurezza stanno scomparendo. Flash e Silverlight non sono una parte importante del web design moderno e molti browser non sono più particolarmente vulnerabili agli altri nascondigli di Evercookie. Dal momento che ci sono così tanti modi diversi in cui questi cookie possono introdursi nel tuo sistema, tuttavia, non esiste un unico modo per proteggerti. Tuttavia, una suite decente di estensioni per la privacy e buone abitudini di cancellazione del browser non sono mai una cattiva idea!

Aspetta, siamo al sicuro o no?

La tecnologia di tracciamento online è una corsa costante verso l’alto, quindi se la privacy è qualcosa che ti preoccupa, probabilmente dovresti semplicemente abituarti all’idea che non ci viene mai garantito l’anonimato al 100% online.

Probabilmente non devi preoccuparti troppo dei supercookie, dal momento che non si vedono molto spesso in natura e vengono sempre più bloccati. D’altra parte, i biscotti zombi / Evercookies sono più difficili da eliminare. Molte delle loro vie più note sono state chiuse, ma possono ancora potenzialmente funzionare fino a quando ogni singola vulnerabilità non viene risolta e possono sempre trovare nuove tecniche.

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar di Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Potrebbero interessarti anche...

Subscribe
Notificami
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x