Что такое суперкуки? Вот как правильно их удалять
Интернет

Что такое суперкуки? Вот как правильно их удалять

Почему суперкуки хуже обычного печенья? Что это вообще такое? И как их удалить?

В марте 2016 года FCC оштрафовала компанию Verizon на 1,35 миллиона долларов за отслеживание клиентов с помощью заголовка уникального идентификатора (UIDH), также известного как ‘суперкуки’. Это было большой новостью, когда FCC заставила Verizon разрешить клиентам отказаться от отслеживания. Но что такое ‘суперкуки’? Почему суперкуки хуже, чем обычные куки?

Вот что вам нужно знать о суперкуках – и как их удалить

Что такое печенье?

Чтобы понять, что такое суперкуки, необходимо понять, что такое обычные куки.HTTP-куки, обычно называемые просто куки, – это небольшой фрагмент кода, который загружается в браузер пользователя при посещении им веб-сайта.Cookie хранит небольшие фрагменты информации, полезной для сайта, пользователя и взаимодействия между ними

Например, когда вы кладете товары в корзину Amazon, эти товары сохраняются в файле cookie. Если вы покидаете Amazon, при возвращении ваши товары остаются в вашей корзине.Cookie отправляет эту информацию обратно в Amazon, когда вы возвращаетесь на сайт

Обычные файлы cookie выполняют и другие функции, например, сообщают сайту, что вы уже вошли в систему, чтобы вам не пришлось снова входить в систему при возвращении. Более спорным является то, что сторонние файлы cookie следят за вами в Интернете, сообщая маркетинговым и другим компаниям о том, чем вы занимаетесь в сети

Что такое суперкуки?

Суперкуки – это куки для отслеживания, но у них более зловещее применение. Суперкуки также отличаются по функциональности от обычных куки

Если вы не хотите, чтобы обычный файл cookie следовал за вами по всему Интернету, вы можете очистить данные просмотра, файлы cookie и многое другое. Вы можете блокировать куки и сторонние куки в своем браузере, а также автоматически удалять куки после завершения сеанса работы браузера. Вам придется заново входить на каждый сайт, и товары в корзине не будут сохраняться, но это также означает, что файлы cookie больше не отслеживают вас

Суперкуки – это совсем другое. Очистка данных просмотра не помогает. Это происходит потому, что суперкуки – это не совсем куки; они не хранятся в вашем браузере

Вместо этого провайдер вставляет в HTTP-заголовок часть информации, уникальной для соединения пользователя. Эта информация однозначно идентифицирует любое устройство. В случае с Verizon это позволило отслеживать каждый посещенный сайт

Поскольку провайдер вводит supercookie между устройством и сервером, к которому оно подключается, пользователь ничего не может с этим поделать. Вы не можете удалить его, потому что он не хранится на вашем устройстве. Программное обеспечение, блокирующее рекламу и скрипты, не может остановить его, потому что это происходит после того, как запрос покидает устройство

Опасности суперкуки

Потенциальная возможность нарушения конфиденциальности здесь должна быть очевидна – в большинстве случаев файлы cookie привязаны к одному сайту и не могут быть переданы другому сайту.UIDH может быть раскрыт любому сайту и содержит потенциально огромное количество информации о привычках и истории пользователя.Verizon рекламировала эту возможность и своим партнерам. Вполне вероятно, что это конкретное использование суперкуки имело целью сбор большого количества данных для их продажи

Фонд электронных рубежей (EFF) также отмечает, что суперкуки могут использоваться рекламодателями для того, чтобы воскресить удаленные куки с устройства пользователя и связать их с новыми, обходя стратегии, которые пользователи могут предпринять для предотвращения отслеживания

S предположим, рекламная сеть присвоила вам cookie с уникальным значением ‘cookie1’, а Verizon присвоила вам заголовок X-UIDH ‘old_uid’. Когда Verizon меняет ваш заголовок X-UIDH на новое значение, скажем ‘new_uid’, рекламная сеть может связать ‘new_uid’ и ‘old_uid’ с одним и тем же значением cookie ‘cookie1’ и увидеть, что все эти три значения представляют одного и того же человека. Аналогично, если вы впоследствии очистите cookie, рекламная сеть присвоит новое значение cookie ‘cookie2’. Поскольку значение вашего X-UIDH одинаково (скажем, ‘new_uid’) до и после очистки файлов cookie, рекламная сеть может связать ‘cookie1’ и ‘cookie2’ с одним и тем же значением X-UIDH ‘new_uid’. Такая передача идентификационных данных взад-вперед делает невозможной настоящую очистку истории отслеживания, пока включен заголовок X-UIDH

В том же блоге EFF также отмечает, что UIDH может применяться к данным, отправляемым из приложений, которые не так легко отследить. Эта комбинация позволяет составить точную картину использования интернета пользователем.Verizon также обходит настройки ‘Ограничить отслеживание рекламы’ на iOS и Android. Обход этого ограничения усугубляет потенциальные нарушения конфиденциальности, которые допускают ‘суперкуки’

Какие данные отправляет суперкуки?

Суперкуки содержит информацию о запросе пользователя, например, о сайте, который он пытается посетить, и времени, когда был сделан запрос. Это известно как метаданные (и очень похоже на метаданные, собираемые АНБ из записей разговоров по мобильному телефону). Но суперкуки могут включать и другие типы данных

Независимо от точного типа данных, если в Verizon произойдет утечка данных и эти файлы cookie будут привязаны к конкретным пользователям, это станет кошмаром для конфиденциальности.EFF уже обнаружила, что в качестве идентификаторов пользователей используются хэшированные телефонные номера, что является тревожным признаком. Хакеры, другие компании или правительственные организации с удовольствием завладели бы такой информацией

Тот факт, что Verizon была одной из компаний, участвовавших в программе PRISM АНБ, только усиливает беспокойство

Что такое зомби-печенье?

Зомби-печенье – это еще один вид суперпеченья. Как следует из названия, вы не можете убить печенье-зомби. А когда вы думаете, что убили его, печенье-зомби может ожить

Зомби-куки остаются нетронутыми, поскольку прячутся за пределами обычного хранилища куки вашего браузера. Зомби-куки нацелены на локальное хранилище, хранилище HTML5, значения цветового кода RGB, хранилище Silverlight и многое другое. Именно поэтому они известны как ‘зомби-куки’. Рекламодателю достаточно найти существующий cookie в одном из этих мест, чтобы воскресить остальные. Если пользователю не удается удалить ни одного ‘зомби-куки’ из любого хранилища, он возвращается к исходной точке

Как удалить суперкуки

Суперкуки хранят много информации о вас. Некоторые из них могут воскрешать удаленные обычные файлы cookie, а некоторые не хранятся на вашем устройстве. Что вы можете с ними сделать?

К сожалению, ответ для некоторых типов суперкуки – ‘не очень много’

Verizon позволяет абонентам отказаться от отслеживания UIDH. Если вы являетесь пользователем Verizon, зайдите на сайт www.vzw.com/myprivacy, войдите в свою учетную запись и перейдите в раздел Relevant Mobile Advertising. Выберите ‘Нет, я не хочу участвовать в Relevant Mobile Advertising’. Обратите внимание, что отказ от участия не отключает заголовок. Он лишь запрещает Verizon делиться подробной демографической информацией с рекламодателями, осуществляющими поиск по значению UIDH. Более того, если вы участвуете в программе Verizon Selects, UIDH останется активным даже после отказа от участия

Если интернет-провайдер решит использовать суперкуки уровня UIDH для слежения за вами, вам, по сути, не повезло. Если кто-то отслеживает вас с помощью суперкуки, лучше всего использовать VPN для создания зашифрованного соединения между вами и остальным интернетом.HTTPS – это почти стандарт де-факто для просмотра интернет-страниц, который также защищает ваш интернет-трафик от шпионов. По возможности всегда используйте HTTPS вместо базового HTTP-соединения

В противном случае ознакомьтесь с разделом ‘Лучшие инструменты безопасности браузера’ в руководстве ПК по лучшим приложениям для обеспечения безопасности и антивирусам

Слежка в Интернете опасна

UIDH представляют собой серьезную угрозу для конфиденциальности в Интернете. Они не хранятся на вашем компьютере, могут однозначно идентифицировать ваш веб-трафик, и их чрезвычайно трудно обнаружить. Использование HTTPS и VPN помогает, но пользователям Интернета необходимо сильное законодательство, требующее от провайдеров услуг Интернета позволить нам отказаться от таких программ слежения, если не прекратить опасные, инвазивные программы слежения вообще. Законодатели американского штата Мэн недавно приняли законопроект, запрещающий провайдерам продавать частные интернет-данные рекламодателям

Беспокоитесь о слежке Facebook? Вот как остановить слежку Facebook за вашими перемещениями в Интернете

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий