Evercookies

Evercookie (také známý jako supercookie [1] ) je JavaScript Application Programming Interface (API) , který identifikuje a přehrává záměrně smazané soubory cookie v úložišti prohlížeče uživatele. [2] Metodu vytvořil Sami Kamkar v roce 2010, aby demonstroval možné vniknutí z webových stránek pomocí souborů cookie pro obnovu. [3] Webové stránky využívající tento mechanismus mohou identifikovat uživatele, i když se pokusí smazat dříve uložené soubory cookie. [čtyři]

V roce 2013 vydal Edward Snowden přísně tajný dokument NSA , který odhalil, že Evercookie může sledovat uživatele Tor (anonymních sítí). [5] Mnoho populárních společností používá funkce podobné Evercookie ke shromažďování informací a sledování uživatelů. [1] [6] Další výzkum otisků zařízení a vyhledávačů je také založen na schopnosti Evercookie nepřetržitě sledovat uživatele. [4] [5] [7]

Pozadí

Existují tři nejpoužívanější úložiště dat, včetně souborů cookie, HTTP , Flash cookie, úložiště HTML5 a dalších. [1] [8] Když uživatel poprvé navštíví webovou stránku, webový server může vygenerovat jedinečný identifikátor a uložit jej v prohlížeči uživatele nebo v místním prostoru. [9] Webová stránka může číst a identifikovat uživatele při budoucích návštěvách pomocí uloženého identifikátoru. A web může ukládat uživatelské preference a zobrazovat marketingové reklamy. [9] Z důvodu ochrany soukromí obsahují všechny hlavní prohlížeče mechanismy pro odstranění a/nebo odmítnutí souborů cookie z webových stránek. [9] [10]

V reakci na rostoucí neochotu uživatelů přijímat soubory cookie mnoho webových stránek používá způsoby, jak obejít odstranění souborů cookie uživateli. [11] Od roku 2009 mnoho výzkumných skupin zjistilo, že oblíbené webové stránky včetně hulu.com, foxnews.com, Spotify.com atd. používají Flash Cookies, ETag a různá další datová úložiště pro obnovu cookies smazaných uživateli. [1] [12] [13] [14] V roce 2010 vytvořil kalifornský programátor Sami Kamkar projekt Evercookie, aby dále ilustroval mechanismus sledování opětovného výskytu v různých mechanismech úložiště prohlížečů. [3]

Popis

Evercookie umožňuje autorům webových stránek identifikovat uživatele i poté, co se pokusili soubory cookie smazat. [15] Sami Kamkar vydal beta verzi evercookie verze 0.4 13. září 2010 jako open source . [16] [17] [18] Evercookie může znovu vytvořit smazané soubory cookie, HTTP, uložením cookie do několika různých úložných systémů, které obvykle poskytují webové prohlížeče. [16] Když prohlížeč navštíví webovou stránku s Evercookie API na svém serveru, webový server může vygenerovat identifikátor a uložit jej do různých mechanismů úložiště dostupných v daném prohlížeči. [2] Pokud uživatel smaže některé , ale ne všechny, uložené identifikátory v prohlížeči a znovu navštíví webovou stránku, webový server načte identifikátor z úložných oblastí, které uživatel nemohl smazat. [16] Webový server poté zkopíruje a obnoví tento identifikátor do dříve vyčištěných oblastí úložiště. [19]

Zneužíváním různých dostupných mechanismů ukládání vytváří Evercookie trvalé identifikátory dat, protože je nepravděpodobné, že by uživatelé vymazali všechny mechanismy ukládání. [20] Ze seznamu poskytnutého Sami Kamkarem [16] existuje 17 úložných enginů, které lze použít pro Evercookie verze 0.4 beta, pokud jsou dostupné v prohlížečích:

Sami Kamkar tvrdí, že neměl v úmyslu využít projekt Evercookie k narušení soukromí uživatelů na internetu nebo jej prodat jakýmkoli stranám ke komerčnímu využití. Sloužil však jako inspirace pro další komerční weby, které později implementovaly podobné mechanismy pro obnovu souborů cookie smazaných uživatelem. Projekt zahrnuje HTML5 jako jeden z úložišť, který byl vydán 6 měsíců před projektem a získal si pozornost veřejnosti díky své větší odolnosti. Kamkar chtěl, aby jeho projekt dokázal demonstrovat, jak mohou moderní sledovací nástroje proniknout do soukromí uživatelů. V současné době může zásuvný modul prohlížeče Firefox „Anonymizer Nevercookie™“ blokovat opětovné zobrazení Evercookie. [21] Dosud může zásuvný modul prohlížeče Firefox „Anonymizer Nevercookie™“ blokovat respawnování Evercookie. [22]

Úložné moduly zahrnuté v projektu jsou neustále aktualizovány, aby zvýšily odolnost Evercookie. Protože Evercookie zahrnuje mnoho existujících metod sledování, poskytuje pokročilý nástroj pro sledování dat, který snižuje nadbytečnost metod sběru dat mnoha komerčních webových stránek. [23] [24] Inspirováno touto myšlenkou, stále více komerčních webů využívá myšlenku Evercookie a přidává k ní nové vektory úložiště. V roce 2014 provedl výzkumný tým na Princetonské univerzitě rozsáhlou studii tří trvalých sledovacích nástrojů: Evercookie, otisky prstů Canvas a synchronizace souborů cookie. Tým naskenoval a analyzoval 100 000 nejlepších webových stránek Alexa a objevil nový vektor úložiště IndexedDB, který je zabudován do enginu Evercookie a používá ho web weibo.com. Tým uvedl, že se jedná o první komerční použití IndexedDB. Kromě toho tým zjistil, že synchronizace souborů cookie se používá ve spojení s Evercookie. Synchronizace souborů cookie umožňuje výměnu dat mezi různými paměťovými moduly, což usnadňuje proces opětovného zobrazení Evercookie v různých úložištích v prohlížečích uživatelů. Tým také na komerčních webových stránkách nalezl případy souborů cookie Flash, které znovu vykreslují soubory cookie HTTP, a soubory cookie HTTP znovu vykreslují soubory cookie Flash. Tyto dva mechanismy se od projektu Evercookie liší počtem použitých úložných mechanismů, ale sdílejí stejnou ideologii. Mezi weby, které výzkumný tým zkontroloval, 10 z 200 webů použilo flash cookies k obnovení HTTP cookies. 9 ze sledovaných stránek je z Číny (včetně sina.com.cn, weibo.com, hao123.com, sohu.com, ifeng.com, youku.com, 56.com, letv.com a tudo.com). Dalším identifikovaným webem byl yandex.ru, přední vyhledávač v Rusku.

Aplikace

Výzkumný tým ze Slovenské technické univerzity navrhl mechanismus, pomocí kterého by vyhledávače určovaly zamýšlené vyhledávací termíny uživatelů internetu a poskytovaly personalizované výsledky vyhledávání. Požadavky od uživatelů internetu často obsahují více hodnot a pokrývají různá pole. Výsledkem je, že zobrazené výsledky vyhledávání z vyhledávače obsahují mnoho informací, z nichž mnohé nejsou relevantní pro uživatele, který požadavek vytvořil. Autoři předpokládali, že osobnost hledajícího a uživatelské preference mají silný smysl pro význam dotazů a mohou významně snížit nejednoznačnost hledaných slov. Výzkumný tým vytvořil model založený na metadatech pro extrakci uživatelských informací pomocí evercookie a integroval tento model uživatelského zájmu do vyhledávače, aby se zlepšila personalizace výsledků vyhledávání. Tým věděl, že tradiční soubory cookie mohou subjekty experimentu snadno smazat, což má za následek neúplná data experimentu. Výzkumný tým proto použil technologii Evercookie. [čtyři]

Kontroverzní aplikace

Žaloba na ochranu osobních údajů KISSMetrics

V pátek 29. července 2011 výzkumný tým UC Berkeley prohledal 100 nejlepších amerických webových stránek na základě QuantCast. Tým objevil KISSmetrics, webovou stránku třetí strany poskytující nástroje pro marketingovou analýzu, která používala soubory cookie HTTP, soubory cookie Flash, soubory cookie ETag a některé, ale ne všechny mechanismy ukládání používané projektem Evercookie Sami Kamkara k obnovení smazaných uživatelských informací. [1] Jiné populární webové stránky jako hulu.com a spotify.com použily KISSmetrics k opětovnému vytvoření svých vlastních HTML5 a HTTP cookies. Výzkumný tým uvedl, že to bylo poprvé, kdy byl Etag komerčně použit. [čtrnáct]

Téhož dne po zveřejnění zprávy Hulu a Spotify oznámily, že pozastavují používání KISSmetrics až do dalšího vyšetřování. [25] V pátek dva spotřebitelé zažalovali společnost KISSmetrics za porušení soukromí uživatelů. [26] Společnost KISSMetrics o víkendu revidovala své zásady ochrany osobních údajů a uvedla, že společnost plně respektuje vůli zákazníků, pokud se odhlásí ze sledování. Dne 4. srpna 2011 generální ředitel KISSmetrics Hiten Shah popřel implementaci evercookies KISSmetrics a dalších sledovacích mechanismů zmíněných ve zprávě a uvedl, že společnost používá pouze legitimní nástroje pro sledování souborů cookie třetích stran. [1] Dne 19. října 2012 KISSmetrics souhlasila s tím, že zaplatí více než 500 000 $ za vyrovnání poplatku, a slíbila, že se zdrží používání Evercookie. [27] [28]

Tor NSA sledování

V roce 2013 Edward Snowden zveřejnil interní prezentaci ( Národní bezpečnostní agentura (NSA) ), která navrhuje použití Evercookie ve vládním dohledu ke sledování uživatelů Tor. [5] [29] Blog TOR reagoval na tento uniklý dokument jedním příspěvkem, ve kterém uvedl, že balíčky prohlížeče TOR a operační systém Tails poskytují silnou ochranu proti evercookies. [30] [31]

Postoje veřejnosti ke sledování dat

Evercookie a mnoho dalších nově vznikajících technologií trvalého sledování dat je reakcí na trend uživatelů internetu mazat úložiště cookies. V tomto systému sdílení informací mají někteří spotřebitelé pocit, že jsou kompenzováni za personalizovanější informace a někdy i finanční kompenzace od spřízněných společností. [32] Nedávná související studie však ukazuje propast mezi očekáváními spotřebitelů a obchodníků. [33] Časopis Wall Street zjistil, že 72 % dotázaných se cítí uraženo, když vidí cílené reklamy při procházení internetu. Jiný průzkum ukázal, že 66 % Američanů má negativní názor na to, jak marketéři sledují jejich data pro personalizované informace. V jiném průzkumu uvedlo 52 % respondentů, že by chtěli behaviorální reklamu vypnout. [34] Chování sledování dat však přežilo, protože poskytuje znalosti všem účastníkům trhu, dále tyto znalosti zhodnocuje do prodejných produktů a pracuje v konečných marketingových aktivitách. [35] [36]

Viz také

Poznámky

  1. ↑ 1 2 3 4 5 6 Bujlow, Tomasz; Carela-Espanol, Valentin; Lee, Beom-Ryeol; Barlet-Ros, Pere (2017). „Průzkum o sledování webu: Mechanismy, důsledky a obrany“ . Sborník IEEE . 105 (8): 1476-1510. DOI : 10.1109/jproc.2016.2637878 . HDL : 2117/108437 . ISSN  0018-9219 . S2CID  2662250 .
  2. ↑ 1 2 Acar, Gunes; Eubank, křesťan; Englehardt, Steven; Juarez, Marc; Naryanan, Arvind; Diaz, Claudia (2014). „Web nikdy nezapomene“ . Sborník příspěvků z konference ACM SIGSAC o počítačové a komunikační bezpečnosti 2014 - CCS '14 . New York, New York, USA: ACM Press: 674-689. DOI : 10.1145/2660267.2660347 . ISBN  978-1-4503-2957-6 . S2CID  8127620 .
  3. ↑ 1 2 Bašír, Muhammad Ahmad; Wilson, Christo (2018-10-01). „Šíření údajů o sledování uživatelů v ekosystému online reklamy.“ Proceedings on Privacy Enhancing Technologies . 2018 (4): 85-103. DOI : 10.1515/popets-2018-0033 . ISSN  2299-0984 . S2CID  52088002 .
  4. ↑ 1 2 3 Kramár, Tomáš; Barla, Michal; Bieliková, Maria (2013-02-01). „Přizpůsobení vyhledávání pomocí sociálně rozšířeného zájmového modelu vytvořeného z proudu aktivity uživatele“ . Journal of Web Engineering . 12 (1-2): 65-92. ISSN  1540-9589 .
  5. ↑ 1 2 3 Kobusińska, Anna; Pawluczuk, Kamil; Brzeziński, Jerzy (2018). „Informační analýza otisků velkých dat pro udržitelnost“ . Počítačové systémy budoucí generace . 86 : 1321-1337. DOI : 10.1016/j.future.2017.12.061 . ISSN  0167-739X . S2CID  49646910 .
  6. Koop, Martin; Tews, Eric; Katzenbeisser, Stefan (2020-10-01). „Hloubkové vyhodnocení sledování přesměrování a používání odkazů“. Proceedings on Privacy Enhancing Technologies . 2020 (4): 394-413. DOI : 10.2478/popets-2020-0079 . ISSN  2299-0984 .
  7. Al-Fannah, Nasser Mohammed; Mitchell, Chris (2020-01-07). "Příliš málo, příliš pozdě: můžeme ovládat otisky prstů prohlížeče?" . Journal of Intellectual Capital . 21 (2): 165-180. DOI : 10.1108/jic-04-2019-0067 . ISSN  1469-1930 . S2CID  212957853 .
  8. Zhiju, Yang; Chuan, Yue Srovnávací studie měření sledování webu v mobilních a desktopových prostředích  . Proceedings on Privacy Enhancing Technologies (1. dubna 2020). Staženo 11. prosince 2020. Archivováno z originálu dne 27. srpna 2016.
  9. ↑ 1 2 3 Yue, Chuan; Xie, Mengjun; Wang, Haining (září 2010). „Automatický systém správy souborů cookie HTTP“ . Počítačové sítě . 54 (13): 2182-2198. DOI : 10.1016/j.comnet.2010.03.006 . ISSN  1389-1286 .
  10. fouad, Imane; Bielová, Natalia; Legout, Arnaud; Sarafijanovic-Djukic, Natasa (2020-04-01). „Zmeškané seznamy filtrů: Detekce neznámých sledovačů třetích stran s neviditelnými pixely.“ Proceedings on Privacy Enhancing Technologies . 2020 (2): 499-518. DOI : 10.2478/popets-2020-0038 . ISSN  2299-0984 .
  11. Kuchař, John; Nithyanand, Rishab; Shafiq, Zubair (2020-01-01). „Odvozování vztahů mezi trackerem a inzerentem v ekosystému online inzerce pomocí Header Bidding.“ Proceedings on Privacy Enhancing Technologies . 2020 (1): 65-82. DOI : 10.2478/popets-2020-0005 . ISSN  2299-0984 .
  12. Acar, Gunes; Eubank, křesťan; Englehardt, Steven; Juarez, Marc; Naryanan, Arvind; Diaz, Claudia (2014). „Web nikdy nezapomíná: Trvalé sledovací mechanismy v divočině“ . Sborník příspěvků z konference ACM SIGSAC o bezpečnosti počítačů a komunikací 2014 - CCS '14 [ eng. ]. Scottsdale, Arizona, USA: ACM Press: 674-689. DOI : 10.1145/2660267.2660347 . ISBN  978-1-4503-2957-6 . S2CID  8127620 .
  13. Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (2009-08-10). Flash cookies a soukromí ]. Rochester, NY SSRN  1446862 .
  14. ↑ 1 2 Ayenson, Mika D.; Wambach, Dietrich James; Soltani, Ashkan; Dobře, Nathane; Hoofnagle, Chris Jay (29. 7. 2011). „Flash Cookies a soukromí II: Nyní s HTML5 a ETag Respawning ]. Rochester, NY SSRN  1898390 .
  15. Andrés, José Angel González (2011-07-01). „Odepření identity na internetu“ . Inteligence a Seguridad . 2011 (10): 75-101. DOI : 10.5211/iys.10.článek6 . ISSN  1887-293X .
  16. ↑ 1 2 3 4 Samy Kamkar - Evercookie . Získáno 10. srpna 2022. Archivováno z originálu dne 23. června 2022.
  17. Zdrojový kód Evercookie . GitHub (13. října 2010). Datum přístupu: 28. října 2010. Archivováno z originálu 27. září 2010.
  18. Schneier on Security – Evercookies (23. září 2010). Získáno 28. října 2010. Archivováno z originálu 2. října 2010.
  19. Řešení útoků cross-Site Scripting (XSS) v kyberprostoru , CRC Press, 2015-10-06, str. 350–367, ISBN 978-0-429-09104-9 , doi : 10.1201/b19311-18 , < http://dx.doi.org/10.1201/b19311-18 > . Staženo 11. prosince 2020. 
  20. Je možné zabít evercookie (27. října 2010). Získáno 10. srpna 2022. Archivováno z originálu dne 19. dubna 2012.
  21. Vega, Tanzina . Nový webový kód vzbuzuje obavy z rizik spojených s ochranou soukromí (publikováno 2010)  (anglicky) , The New York Times  (11. října 2010). Archivováno z originálu 10. srpna 2022. Staženo 10. srpna 2022.
  22. Lennon, Mike . Nevercookie sní Evercookie s novým pluginem Firefoxu  (10. listopadu 2010). Archivováno z originálu 13. února 2022. Staženo 10. srpna 2022.
  23. Nielsen, Janne (2019-10-02). „Experimentování s výpočetními metodami pro rozsáhlé studie sledovacích technologií ve webových archivech“ . Internetové dějiny . 3 (3-4): 293-315. DOI : 10.1080/24701475.2019.1671074 . ISSN  2470-1475 . S2CID  208121899 .
  24. Samarasinghe, Nayanamana; Mannan, Mohammad (listopad 2019). „Směrem ke globálnímu pohledu na sledování webu“ . Počítače a zabezpečení . 87 : 101569. doi : 10.1016 /j.cose.2019.101569 . ISSN  0167-4048 . S2CID  199582679 .
  25. Výzkumníci vyvolávají webové stránky pro sledování uživatelů pomocí   taktiky utajení ? . Berkeleyův zákon . Získáno 6. prosince 2020. Archivováno z originálu dne 9. listopadu 2020.
  26. KISSmetrics, Hulu žalován kvůli nové  technologii sledování . www.mediapost.com . Získáno 6. prosince 2020. Archivováno z originálu dne 10. listopadu 2020.
  27. KISSmetrics řeší spor o  supercookies . www.mediapost.com . Získáno 6. prosince 2020. Archivováno z originálu dne 22. července 2020.
  28. Drury, Alexandra (2012). „Jak jsou sledovány a využívány identity uživatelů internetu“ . Tulane Journal of Technology & Intellectual Property ]. 15 . ISSN  2169-4567 . Archivováno z originálu dne 2022-03-31 . Získáno 2022-08-10 . Použitý zastaralý parametr |deadlink=( nápověda )
  29. Torstinks . www.edwardsnowden.com . Získáno 10. srpna 2022. Archivováno z originálu dne 10. srpna 2022.
  30. "TOR napaden - možná NSA" . Zabezpečení sítě . 2013 (8): 1.-2. srpna 2013. doi : 10.1016/ s1353-4858 (13)70086-2 . ISSN  1353-4858 .
  31. Vlajic, Natalija; Madani, Pooria; Nguyen, Ethan (2018-04-03). „Sledování clickstreamu uživatelů TOR: může být jednodušší, než si myslíte“ . Journal of Cyber ​​​​Security Technology . 2 (2): 92-108. DOI : 10.1080/23742917.2018.1518060 . ISSN  2374-2917 . S2CID  169615236 .
  32. Martin, Kelly D.; Murphy, Patrick E. (22. 9. 2016). „Role ochrany osobních údajů v marketingu“ . Časopis Akademie marketingových věd . 45 (2): 135-155. DOI : 10.1007/s11747-016-0495-4 . ISSN  0092-0703 . S2CID  168554897 .
  33. Chen, G.; Cox, JH; Uluagac, AS; Copeland, JA (třetí čtvrtletí 2016). „Hloubkový průzkum digitálních reklamních technologií“ . IEEE Communications Surveys and Tutorials . 18 (3): 2124-2148. DOI : 10.1109/COMST.2016.2519912 . ISSN  1553-877X . S2CID  32263374 . Archivováno z originálu dne 2022-08-10 . Získáno 2022-08-10 . Použitý zastaralý parametr |deadlink=( help );Zkontrolujte datum na |date=( nápověda v angličtině )
  34. Korolová, A. (prosinec 2010). „Porušení ochrany osobních údajů pomocí mikrocílených reklam: případová studie“ . 2010 IEEE International Conference on Data Mining Workshops : 474-482. DOI : 10.1109/ICDMW.2010.137 . ISBN  978-1-4244-9244-2 . S2CID  206785467 . Archivováno z originálu dne 2022-08-10 . Získáno 2022-08-10 . Použitý zastaralý parametr |deadlink=( nápověda )
  35. Mellet, Kevin; Beauvisage, Thomas (2019-09-02). Cookie monstra. Anatomie infrastruktury digitálního trhu“ . Spotřební trhy a kultura . 23 (2): 110-129. DOI : 10.1080/10253866.2019.1661246 . ISSN  1025-3866 . S2CID  203058303 .
  36. Dataveillance and Countervailance , The MIT Press, 2013, ISBN 978-0-262-31232-5 , doi : 10.7551/mitpress/9302.003.0009 , < http://dx.doi.org/10.209.095 > . Staženo 11. prosince 2020.