Evercookie (také známý jako supercookie [1] ) je JavaScript Application Programming Interface (API) , který identifikuje a přehrává záměrně smazané soubory cookie v úložišti prohlížeče uživatele. [2] Metodu vytvořil Sami Kamkar v roce 2010, aby demonstroval možné vniknutí z webových stránek pomocí souborů cookie pro obnovu. [3] Webové stránky využívající tento mechanismus mohou identifikovat uživatele, i když se pokusí smazat dříve uložené soubory cookie. [čtyři]
V roce 2013 vydal Edward Snowden přísně tajný dokument NSA , který odhalil, že Evercookie může sledovat uživatele Tor (anonymních sítí). [5] Mnoho populárních společností používá funkce podobné Evercookie ke shromažďování informací a sledování uživatelů. [1] [6] Další výzkum otisků zařízení a vyhledávačů je také založen na schopnosti Evercookie nepřetržitě sledovat uživatele. [4] [5] [7]
Existují tři nejpoužívanější úložiště dat, včetně souborů cookie, HTTP , Flash cookie, úložiště HTML5 a dalších. [1] [8] Když uživatel poprvé navštíví webovou stránku, webový server může vygenerovat jedinečný identifikátor a uložit jej v prohlížeči uživatele nebo v místním prostoru. [9] Webová stránka může číst a identifikovat uživatele při budoucích návštěvách pomocí uloženého identifikátoru. A web může ukládat uživatelské preference a zobrazovat marketingové reklamy. [9] Z důvodu ochrany soukromí obsahují všechny hlavní prohlížeče mechanismy pro odstranění a/nebo odmítnutí souborů cookie z webových stránek. [9] [10]
V reakci na rostoucí neochotu uživatelů přijímat soubory cookie mnoho webových stránek používá způsoby, jak obejít odstranění souborů cookie uživateli. [11] Od roku 2009 mnoho výzkumných skupin zjistilo, že oblíbené webové stránky včetně hulu.com, foxnews.com, Spotify.com atd. používají Flash Cookies, ETag a různá další datová úložiště pro obnovu cookies smazaných uživateli. [1] [12] [13] [14] V roce 2010 vytvořil kalifornský programátor Sami Kamkar projekt Evercookie, aby dále ilustroval mechanismus sledování opětovného výskytu v různých mechanismech úložiště prohlížečů. [3]
Evercookie umožňuje autorům webových stránek identifikovat uživatele i poté, co se pokusili soubory cookie smazat. [15] Sami Kamkar vydal beta verzi evercookie verze 0.4 13. září 2010 jako open source . [16] [17] [18] Evercookie může znovu vytvořit smazané soubory cookie, HTTP, uložením cookie do několika různých úložných systémů, které obvykle poskytují webové prohlížeče. [16] Když prohlížeč navštíví webovou stránku s Evercookie API na svém serveru, webový server může vygenerovat identifikátor a uložit jej do různých mechanismů úložiště dostupných v daném prohlížeči. [2] Pokud uživatel smaže některé , ale ne všechny, uložené identifikátory v prohlížeči a znovu navštíví webovou stránku, webový server načte identifikátor z úložných oblastí, které uživatel nemohl smazat. [16] Webový server poté zkopíruje a obnoví tento identifikátor do dříve vyčištěných oblastí úložiště. [19]
Zneužíváním různých dostupných mechanismů ukládání vytváří Evercookie trvalé identifikátory dat, protože je nepravděpodobné, že by uživatelé vymazali všechny mechanismy ukládání. [20] Ze seznamu poskytnutého Sami Kamkarem [16] existuje 17 úložných enginů, které lze použít pro Evercookie verze 0.4 beta, pokud jsou dostupné v prohlížečích:
Sami Kamkar tvrdí, že neměl v úmyslu využít projekt Evercookie k narušení soukromí uživatelů na internetu nebo jej prodat jakýmkoli stranám ke komerčnímu využití. Sloužil však jako inspirace pro další komerční weby, které později implementovaly podobné mechanismy pro obnovu souborů cookie smazaných uživatelem. Projekt zahrnuje HTML5 jako jeden z úložišť, který byl vydán 6 měsíců před projektem a získal si pozornost veřejnosti díky své větší odolnosti. Kamkar chtěl, aby jeho projekt dokázal demonstrovat, jak mohou moderní sledovací nástroje proniknout do soukromí uživatelů. V současné době může zásuvný modul prohlížeče Firefox „Anonymizer Nevercookie™“ blokovat opětovné zobrazení Evercookie. [21] Dosud může zásuvný modul prohlížeče Firefox „Anonymizer Nevercookie™“ blokovat respawnování Evercookie. [22]
Úložné moduly zahrnuté v projektu jsou neustále aktualizovány, aby zvýšily odolnost Evercookie. Protože Evercookie zahrnuje mnoho existujících metod sledování, poskytuje pokročilý nástroj pro sledování dat, který snižuje nadbytečnost metod sběru dat mnoha komerčních webových stránek. [23] [24] Inspirováno touto myšlenkou, stále více komerčních webů využívá myšlenku Evercookie a přidává k ní nové vektory úložiště. V roce 2014 provedl výzkumný tým na Princetonské univerzitě rozsáhlou studii tří trvalých sledovacích nástrojů: Evercookie, otisky prstů Canvas a synchronizace souborů cookie. Tým naskenoval a analyzoval 100 000 nejlepších webových stránek Alexa a objevil nový vektor úložiště IndexedDB, který je zabudován do enginu Evercookie a používá ho web weibo.com. Tým uvedl, že se jedná o první komerční použití IndexedDB. Kromě toho tým zjistil, že synchronizace souborů cookie se používá ve spojení s Evercookie. Synchronizace souborů cookie umožňuje výměnu dat mezi různými paměťovými moduly, což usnadňuje proces opětovného zobrazení Evercookie v různých úložištích v prohlížečích uživatelů. Tým také na komerčních webových stránkách nalezl případy souborů cookie Flash, které znovu vykreslují soubory cookie HTTP, a soubory cookie HTTP znovu vykreslují soubory cookie Flash. Tyto dva mechanismy se od projektu Evercookie liší počtem použitých úložných mechanismů, ale sdílejí stejnou ideologii. Mezi weby, které výzkumný tým zkontroloval, 10 z 200 webů použilo flash cookies k obnovení HTTP cookies. 9 ze sledovaných stránek je z Číny (včetně sina.com.cn, weibo.com, hao123.com, sohu.com, ifeng.com, youku.com, 56.com, letv.com a tudo.com). Dalším identifikovaným webem byl yandex.ru, přední vyhledávač v Rusku.
Výzkumný tým ze Slovenské technické univerzity navrhl mechanismus, pomocí kterého by vyhledávače určovaly zamýšlené vyhledávací termíny uživatelů internetu a poskytovaly personalizované výsledky vyhledávání. Požadavky od uživatelů internetu často obsahují více hodnot a pokrývají různá pole. Výsledkem je, že zobrazené výsledky vyhledávání z vyhledávače obsahují mnoho informací, z nichž mnohé nejsou relevantní pro uživatele, který požadavek vytvořil. Autoři předpokládali, že osobnost hledajícího a uživatelské preference mají silný smysl pro význam dotazů a mohou významně snížit nejednoznačnost hledaných slov. Výzkumný tým vytvořil model založený na metadatech pro extrakci uživatelských informací pomocí evercookie a integroval tento model uživatelského zájmu do vyhledávače, aby se zlepšila personalizace výsledků vyhledávání. Tým věděl, že tradiční soubory cookie mohou subjekty experimentu snadno smazat, což má za následek neúplná data experimentu. Výzkumný tým proto použil technologii Evercookie. [čtyři]
V pátek 29. července 2011 výzkumný tým UC Berkeley prohledal 100 nejlepších amerických webových stránek na základě QuantCast. Tým objevil KISSmetrics, webovou stránku třetí strany poskytující nástroje pro marketingovou analýzu, která používala soubory cookie HTTP, soubory cookie Flash, soubory cookie ETag a některé, ale ne všechny mechanismy ukládání používané projektem Evercookie Sami Kamkara k obnovení smazaných uživatelských informací. [1] Jiné populární webové stránky jako hulu.com a spotify.com použily KISSmetrics k opětovnému vytvoření svých vlastních HTML5 a HTTP cookies. Výzkumný tým uvedl, že to bylo poprvé, kdy byl Etag komerčně použit. [čtrnáct]
Téhož dne po zveřejnění zprávy Hulu a Spotify oznámily, že pozastavují používání KISSmetrics až do dalšího vyšetřování. [25] V pátek dva spotřebitelé zažalovali společnost KISSmetrics za porušení soukromí uživatelů. [26] Společnost KISSMetrics o víkendu revidovala své zásady ochrany osobních údajů a uvedla, že společnost plně respektuje vůli zákazníků, pokud se odhlásí ze sledování. Dne 4. srpna 2011 generální ředitel KISSmetrics Hiten Shah popřel implementaci evercookies KISSmetrics a dalších sledovacích mechanismů zmíněných ve zprávě a uvedl, že společnost používá pouze legitimní nástroje pro sledování souborů cookie třetích stran. [1] Dne 19. října 2012 KISSmetrics souhlasila s tím, že zaplatí více než 500 000 $ za vyrovnání poplatku, a slíbila, že se zdrží používání Evercookie. [27] [28]
V roce 2013 Edward Snowden zveřejnil interní prezentaci ( Národní bezpečnostní agentura (NSA) ), která navrhuje použití Evercookie ve vládním dohledu ke sledování uživatelů Tor. [5] [29] Blog TOR reagoval na tento uniklý dokument jedním příspěvkem, ve kterém uvedl, že balíčky prohlížeče TOR a operační systém Tails poskytují silnou ochranu proti evercookies. [30] [31]
Evercookie a mnoho dalších nově vznikajících technologií trvalého sledování dat je reakcí na trend uživatelů internetu mazat úložiště cookies. V tomto systému sdílení informací mají někteří spotřebitelé pocit, že jsou kompenzováni za personalizovanější informace a někdy i finanční kompenzace od spřízněných společností. [32] Nedávná související studie však ukazuje propast mezi očekáváními spotřebitelů a obchodníků. [33] Časopis Wall Street zjistil, že 72 % dotázaných se cítí uraženo, když vidí cílené reklamy při procházení internetu. Jiný průzkum ukázal, že 66 % Američanů má negativní názor na to, jak marketéři sledují jejich data pro personalizované informace. V jiném průzkumu uvedlo 52 % respondentů, že by chtěli behaviorální reklamu vypnout. [34] Chování sledování dat však přežilo, protože poskytuje znalosti všem účastníkům trhu, dále tyto znalosti zhodnocuje do prodejných produktů a pracuje v konečných marketingových aktivitách. [35] [36]