Si vous avez un voisin curieux, il peut trouver que votre recette secrète est le plus gros problème de confidentialité des cookies, mais cela a changé grâce à Internet. Bien que les cookies classiques du navigateur soient souvent utiles et faciles à supprimer, il existe d’autres variantes conçues pour y adhérer. Il est très difficile de se débarrasser de deux de ces types, les supercookies et les cookies zombies (souvent appelés «Evercookies»). Heureusement, ils ne sont pas passés inaperçus et les navigateurs évoluent pour lutter contre ces techniques de suivi cachées.
Supercookies
Ce terme peut être un peu déroutant car il est utilisé pour décrire de nombreuses techniques différentes, dont certaines ne sont en réalité que des cookies. Cependant, en général, tout ce qui change votre fichier de navigation pour vous fournir un identifiant unique est indiqué. De cette façon, ils ont la même fonctionnalité que les cookies, permettant aux sites et aux annonceurs de vous suivre, mais contrairement aux cookies, ils ne peuvent pas vraiment être supprimés.
Vous entendrez souvent le terme «supercookie» utilisé pour désigner les en-têtes UIDH et la persistance dans HTTP Strict Transport Security ou HSTS, bien que le terme original se réfère aux cookies. Qui proviennent de domaines de premier niveau. Cela signifie qu'un cookie peut être défini pour un domaine tel que ".com" ou ".co.uk", ce qui permet à tout site Web possédant son propre suffixe de le voir.
Si Google.com définit supercookie, ce cookie est visible pour tout autre site Web «.com». Ceci est un problème de confidentialité évident, mais comme il ne s'agit pas de cookies traditionnels, tous les navigateurs modernes les limitent par défaut. Puisque plus personne ne parle beaucoup de ce type de Supercookie, vous en entendrez généralement davantage sur les deux autres.
Adresse UIDH
L’adresse d’identification unique n’existe pas du tout sur votre ordinateur. Elle se produit entre votre fournisseur d’accès Internet et les serveurs de votre site Web. Voici comment:
Vous envoyez une demande de site Web à votre fournisseur de services Internet.
Avant que votre fournisseur de services Internet transmette la demande au serveur, il ajoute une chaîne d'identifiant unique à l'en-tête de votre demande.
Cette chaîne permet aux sites de vous reconnaître en tant qu'utilisateur unique lors de votre visite, même si vous avez supprimé leurs cookies. Une fois qu'ils savent qui vous êtes, ils ne peuvent que renvoyer les mêmes cookies sur votre navigateur.
En termes simples, si c'est Votre FAI utilise l'outil de suivi UIDH, il envoie votre signature personnelle à chaque site que vous visitez (ou à celui qui a payé votre FAI). Ceci est souvent utile pour améliorer les revenus publicitaires, mais il est important que FAC applique M $ 1.35 sur Verizon En n'informant pas ses clients ou en leur donnant la possibilité de se désabonner.
En dehors de Verizon, il n’ya pas beaucoup de données sur les entreprises utilisant les informations UIDH, mais la réaction des consommateurs en a fait une stratégie largement impopulaire. Mieux encore, il ne fonctionne que sur des connexions HTTP non chiffrées, et puisque la plupart des sites Web utilisent HTTPS par défaut et que vous pouvez facilement télécharger des extensions telles que HTTPS. Partout, ces supercookies ne posent pas vraiment problème et ne sont pas utilisés à grande échelle. Si vous souhaitez une protection supplémentaire, utilisez VPN. Cela garantit que votre application est migrée sur le site Web sans attacher votre UIDH.
Sécurité HTTPS de transfert stricte (HSTS)
Il s’agit d’un type rare de supercookie qui n’a pas été spécifiquement identifié à un endroit particulier, mais il semble être exploité, car Apple a associé Safari à ce dernier, Se référant à des cas d'attaque confirmés.
HSTS est vraiment bon. Il permet au navigateur de rediriger en toute sécurité vers la version HTTPS du site au lieu de la version HTTP non sécurisée. Malheureusement, il peut également être utilisé pour créer un super cookie à l'aide de la recette suivante:
Créez beaucoup de sous-domaines (comme "domain.com", "subdomain2.domain.com", etc.).
Définissez chaque visiteur de votre page d'accueil sur un nombre aléatoire.
Forcer les utilisateurs à télécharger tous vos sous-domaines en les ajoutant en pixels invisibles sur une page ou en redirigeant l'utilisateur vers chaque sous-domaine pendant le chargement de la page.
Pour certains sous-domaines, indiquez au navigateur de l'utilisateur d'utiliser HSTS pour passer à la version sécurisée pour certains. Pour les autres, laissez le domaine en tant que HTTP non sécurisé.
Si la stratégie HSTS d'un sous-domaine est activée, elle sera considérée comme "1". Si elle est désactivée, elle sera considérée comme "0". En utilisant cette stratégie, le site peut taper de manière aléatoire l'ID utilisateur aléatoire dans les paramètres HSTS du navigateur.
Chaque fois que le visiteur revient, le site vérifie les stratégies HSTS du navigateur de l'utilisateur, qui affichent le même nombre binaire créé à l'origine, et identifient l'utilisateur.
Cela semble compliqué, mais les sites Web peuvent également utiliser votre navigateur pour créer et mémoriser les paramètres de sécurité de plusieurs pages. Lors de votre prochaine visite, vous pourrez savoir qui vous êtes car personne ne dispose de ce paramètre exact.
Apple a déjà trouvé des solutions à ce problème, par exemple autoriser uniquement la définition des paramètres HSTS pour un ou plusieurs noms de domaine principaux pour chaque site et limiter le nombre de redirections autorisées autorisées. D'autres navigateurs suivront probablement ces mesures de sécurité (le mode incognito de Firefox semble aider), mais comme il n'y a pas de cas confirmé, ce n'est pas une priorité absolue pour la plupart d'entre eux. Vous pouvez prendre les choses en main en consultant certains paramètres et en supprimant manuellement les stratégies HSTS. Mais c'est à peu près tout.
Zombie cookies / Evercookies
Les biscuits Zombie sont exactement ce à quoi ils ressemblent - des biscuits qui reviennent à la vie après que je pensais qu'ils avaient disparu. Vous les avez peut-être vus appelés «Evercookies», ce qui, malheureusement, n’est pas l’équivalent d’un cookie de gobstopper.
"Evercookie" est en fait L'API JavaScript a été créée pour illustrer le nombre de méthodes différentes. Où les cookies peuvent contourner les efforts de suppression.
Les cookies zombies ne sont pas effacés car ils se cachent en dehors du magasin de cookies normal. Le stockage local est une cible majeure (avec Adobe Flash et Microsoft Silverlight où cela est souvent fait), et certains volumes HTML5 peuvent également poser problème. Les cookies live peuvent figurer dans votre journal Web ou dans des codes de couleur RVB permettant à votre navigateur de les mettre en cache. Tout ce que vous avez à faire est de trouver un cookie caché et de réactiver d'autres cookies.
Beaucoup de ces failles de sécurité disparaissent cependant. Flash et Silverlight ne sont pas vraiment une conception Web moderne, et de nombreux navigateurs ne sont pas particulièrement vulnérables aux autres endroits où se cacher Evercookie. Étant donné que ces cookies peuvent accéder à votre système de nombreuses manières, il n’existe aucun moyen de vous protéger. Cependant, disposer d'un bon ensemble d'extensions de confidentialité et d'habitudes de réinitialisation du navigateur n'est jamais une mauvaise idée!
Attends, sommes-nous en sécurité ou pas?
La technologie de suivi en ligne est un type de course du début à la fin. Par conséquent, si la confidentialité vous intéresse, vous savez probablement que nous ne garantissons jamais l'anonymat en ligne de 100%.
Vous n’avez peut-être pas à vous soucier de vos supercars, car elles ne sont pas vues entre-temps et sont de plus en plus bloquées. Par contre, il est difficile de se débarrasser des cookies de zombie / Evercookies. Beaucoup de ses itinéraires connus ont été fermés, mais cela peut encore fonctionner jusqu'à ce que toutes les faiblesses soient corrigées, et il peut toujours proposer de nouvelles technologies.
