إذا كنت لديك جارًا فضوليًا ، فيمكنه العثور على وصفتك السرية لتكون أكبر مشكلة متعلقة بالخصوصية حول ملفات تعريف الارتباط ، ولكن تم تغيير ذلك بفضل الإنترنت. على الرغم من أن ملفات تعريف الارتباط المعتادة للمتصفح غالباً ما تكون مفيدة وسهلة الإزالة ، إلا أن هناك تنويعات أخرى تم تصميمها لتلتزم بها. اثنين من هذه الأنواع ، supercookies و zombie cookies (المعروفة في كثير من الأحيان باسم “Evercookies”) ، يمكن أن تكون صعبة للغاية للتخلص منها. لحسن الحظ ، لم تمر دون أن يلاحظها أحد ، والمتصفحات تتطور لمكافحة تقنيات التعقب المدسوس هذه.
Supercookies
يمكن أن يكون هذا المصطلح مربكًا بعض الشيء نظرًا لأنه يُستخدم لوصف العديد من التقنيات المختلفة ، وبعضها في الواقع ملفات تعريف الارتباط فقط. بشكل عام ، على الرغم من ذلك ، فإنه يشير إلى أي شيء يغيّر ملف التصفّح الخاص بك لتزويدك بمعرّف فريد. وبهذه الطريقة ، فإنها تخدم نفس وظيفة ملفات تعريف الارتباط ، مما يسمح للمواقع والمعلنين بتتبعك ، ولكن على عكس ملفات تعريف الارتباط ، لا يمكن حذفها حقًا.
ستسمع غالبًا المصطلح “supercookie” المستخدم في الإشارة إلى رؤوس المعرفات الفريدة (UIDH) وكثبات في HTTP Strict Transport Security أو HSTS ، على الرغم من أن المصطلح الأصلي يشير إلى ملفات تعريف الارتباط التي تنشأ من نطاقات المستوى الأعلى. وهذا يعني أنه يمكن تعيين ملف تعريف ارتباط لمجال مثل “.com” أو “.co.uk” ، مما يسمح لأي موقع ويب به لاحقة الطاق برؤيته.
إذا كان Google.com يضبط supercookie ، فسيكون ملف تعريف الارتباط هذا مرئيًا لأي موقع ويب “.com” آخر. هذه مشكلة خصوصية واضحة ، ولكن نظرًا لأنها ليست ملفات تعريف ارتباط تقليدية ، فإن جميع المتصفحات الحديثة تقيدها افتراضيًا. نظرًا لأنه لا أحد يتحدث كثيرًا عن هذا النوع من Supercookie بعد الآن ، فستسمع بشكل عام المزيد عن الاثنين الآخرين.
عنوان المعرف الفريد (UIDH)
عنوان المعرف الفريد غير موجود على جهاز الكمبيوتر الخاص بك على الإطلاق – يحدث بين موفر خدمة الإنترنت وخوادم موقع الويب. إليك الطريقة:
قمت بإرسال طلب للحصول على موقع على شبكة الإنترنت لموفر خدمة الإنترنت الخاص بك.
قبل أن يقوم مقدم خدمة الإنترنت الخاص بك بإعادة توجيه الطلب إلى الخادم ، فإنه يضيف سلسلة معرف فريدة إلى رأس الطلب الخاص بك.
تسمح هذه السلسلة للمواقع بالتعرف عليك كمستخدم واحد عند زيارتك ، حتى إذا كنت قد حذفت ملفات تعريف الارتباط الخاصة بها. بمجرد أن يعرفوا من أنت ، يمكنهم فقط إعادة ملفات تعريف الارتباط نفسها مرة أخرى إلى متصفحك.
بعبارة بسيطة ، إذا كان مزود خدمة الإنترنت يستخدم أداة UIDH للتتبع ، فإنه يرسل توقيعك الشخصي إلى كل موقع تقوم بزيارته (أو الذين قاموا بدفع ISP مقابل ذلك). يُعد هذا الإجراء مفيدًا في الغالب لتحسين أرباح الإعلانات ، ولكن من الجدير بالقدر الكافي أن تفرض لجنة FCC مبلغ 1.35 مليون دولار أمريكي على Verizon بسبب عدم إبلاغ عملائها به أو منحهم خيارًا لإلغاء الاشتراك.
بصرف النظر عن Verizon ، ليس هناك الكثير من البيانات حول الشركات التي تستخدم معلومات UIDH ، ولكن رد فعل المستهلك جعلها إستراتيجية غير شعبية إلى حد كبير. والأفضل من ذلك ، أنه يعمل فقط عبر اتصالات HTTP غير المشفرة ، وبما أن معظم مواقع الويب تستخدم HTTPS بشكل افتراضي ويمكنك بسهولة تنزيل ملحقات مثل HTTPS Everywhere ، فإن هذه supercookie ليست مشكلة كبيرة في الواقع ، وربما لا يتم استخدامها على نطاق واسع. إذا كنت تريد حماية إضافية ، فاستخدم VPN. يضمن ذلك ترحيل طلبك إلى موقع الويب دون إرفاق UIDH الخاص بك.
HTTPS Strict Transfer Security (HSTS)
هذا هو نوع نادر من supercookie التي لم يتم تحديدها على وجه التحديد في أي موقع معين ، ولكن على ما يبدو كان يجري استغلاله ، لأن أبل صحبت سفاري ضدها ، مشيرة إلى حالات مؤكدة من الهجوم.
HSTS في الواقع أمر جيد. فهو يتيح للمتصفح إعادة التوجيه بأمان إلى إصدار HTTPS من الموقع بدلاً من إصدار HTTP غير الآمن. لسوء الحظ ، يمكن أيضًا استخدامه لإنشاء سوبر كوكي باستخدام الوصفة التالية:
أنشئ الكثير من النطاقات الفرعية (مثل “domain.com” ، و “subdomain2.domain.com” ، وما إلى ذلك).
قم بتعيين كل زائر لصفحتك الرئيسية على رقم عشوائي.
اجبر المستخدمين على تحميل جميع النطاقات الفرعية الخاصة بك إما عن طريق إضافتهم في وحدات بكسل غير مرئية على صفحة أو إعادة توجيه المستخدم من خلال كل نطاق فرعي أثناء تحميل الصفحة.
بالنسبة إلى بعض النطاقات الفرعية ، أخبر متصفح المستخدم باستخدام HSTS للتبديل إلى الإصدار الآمن للبعض. بالنسبة إلى الآخرين ، اترك النطاق على أنه HTTP غير الآمن.
إذا تم تشغيل سياسة HSTS لنطاق فرعي ، فسيتم اعتبارها “1.” إذا كانت متوقفة عن التشغيل ، فسيتم اعتبارها “0”. وباستخدام هذه الإستراتيجية ، يمكن للموقع كتابة رقم تعريف المستخدم العشوائي بشكل ثنائي في إعدادات HSTS للمتصفح.
في كل مرة يعود فيها الزائر ، سيتحقق الموقع من سياسات HSTS لمتصفح المستخدم ، والتي ستعرض نفس الرقم الثنائي الذي تم إنشاؤه في الأصل ، وتحديد المستخدم.
يبدو الأمر معقدًا ، ولكن ما يتلخص في أنه يمكن للمواقع الإلكترونية استعمال متصفحك لإنشاء وتذكُّر إعدادات الأمان لصفحات متعددة ، وفي المرة القادمة التي تزورها ، يمكن أن تعرف على من أنت نظرًا لأن لا أحد لديه هذا الإعداد الدقيق للإعدادات .
لقد توصلت Apple بالفعل إلى حلول لهذه المشكلة ، مثل السماح فقط بتعيين إعدادات HSTS لاسم نطاق رئيسي واحد أو اسمين رئيسيين لكل موقع ، والحد من عدد عمليات إعادة التوجيه المقيدة المسموح باستخدامها. من المرجح أن تتبع المتصفحات الأخرى هذه الإجراءات الأمنية (يبدو أن وضع التصفح المتخفي في فايرفوكس يساعد في ذلك) ، ولكن نظرًا لعدم وجود أي حالات مؤكدة من حدوث ذلك ، فهي ليست أولوية قصوى لمعظمها. يمكنك أن تأخذ الأمور بأيديك عن طريق البحث في بعض الإعدادات وإزالة سياسات HSTS يدويًا ، ولكن ذلك يدور حوله.
Zombie cookies/Evercookies
Zombie cookies هي بالضبط ما تبدو عليه – ملفات تعريف الارتباط التي تعود إلى الحياة بعد أن اعتقدت أنها اختفت. قد تكون قد رأيتهم يشار إليهم باسم “Evercookies” ، والتي للأسف ليست المعادل لملف cookie من gobstopper.
“Evercookie” هو في الواقع واجهة برمجة تطبيقات جافا سكريبت تم إنشاؤها لتوضيح عدد الطرق المختلفة التي يمكن أن تحصل بها ملفات تعريف الارتباط حول جهود الحذف.
لا يتم مسح ملفات تعريف الارتباط الخاصة بالزومبي لأنهم يختبئون خارج مخزن ملفات تعريف الارتباط العادي. يُعد التخزين المحلي هدفًا رئيسيًا (يستخدم Adobe Flash و Microsoft Silverlight حيث يتم هذا الأمر كثيرًا) ، كما يمكن أن تكون بعض وحدات تخزين HTML5 مشكلة أيضًا. يمكن أن تكون ملفات تعريف الارتباط الحية في سجل الويب الخاص بك أو في رموز اللون RGB التي يسمح المستعرض الخاص بك في ذاكرة التخزين المؤقت الخاصة به. كل ما عليك القيام به هو العثور على أحد ملفات تعريف الارتباط المخفية ويمكنه إحياء ملفات تعريف الارتباط الأخرى.
العديد من هذه الثقوب الأمنية تختفي ، رغم ذلك. لا يعد كل من Flash و Silverlight جزءًا كبيرًا من تصميم الويب الحديث ، كما أن العديد من المتصفحات ليست معرضة بشكل خاص لأماكن أخرى للاختباء Evercookie. نظرًا لوجود العديد من الطرق المختلفة التي يمكن بها لملفات تعريف الارتباط هذه الوصول إلى نظامك ، فلا توجد طريقة واحدة لحماية نفسك. ومع ذلك ، لا يمثل وجود مجموعة جيدة من إضافات الخصوصية وعادات المقاصة في المتصفح فكرة سيئة أبدًا!
انتظر ، هل نحن بأمان أم لا؟
تعد تكنولوجيا التتبع عبر الإنترنت نوع من السباق الثابت إلى القمة ، لذا إذا كانت الخصوصية أمرًا يثير اهتمامك ، فمن المحتمل أن تكون معتادًا على فكرة أننا لا نضمن أبدًا إخفاء الهوية بنسبة 100٪ عبر الإنترنت.
ربما لا داعي للقلق كثيرًا بشأن السوبركيز ، نظرًا لأنه لا يتم مشاهدتها في الأثناء كثيرًا ويتم حظرها بشكل متزايد. من ناحية أخرى ، من الصعب التخلص من ملفات تعريف الارتباط zombie / Evercookies. لقد تم إغلاق العديد من طرقها المعروفة ، ولكن لا يزال بإمكانها العمل حتى يتم إصلاح كل نقطة ضعف، ويمكنها دائمًا التوصل إلى تقنيات جديدة.
