Die nächste Front in den Cookie-Kriegen: Kampf gegen den Evercookie

Wie die meisten technischen Aspekte des Internets schienen Cookies bei ihrer Einführung sinnvoll zu sein. In mancher Hinsicht sind sie immer noch nützlich. Aber es gibt eine dunkle Seite. Cookies können verwendet werden, um unsere Bewegung im Internet zu verfolgen, und viele sagen, dass dies nicht richtig ist.

Was genau ist ein Cookie?

Technisch gesehen ist ein Cookie ein harmloser Text, der vom Webserver stammt und an den Webbrowser gesendet wird, wo er zur Vorbereitung auf den nächsten Besuch des Benutzers gespeichert wird. Cookies können verwendet werden, um die Website-Authentifizierung zu automatisieren, Website-Einstellungen, Einkaufsoptionen oder andere Informationen beizubehalten, die das Besuchererlebnis erleichtern sollen.

Es gibt zwei Arten von HTTP-Cookies. Erstanbieter-Cookies werden vom Webserver gesendet, der in der Adressleiste aufgeführt ist. Cookies von Drittanbietern kommen von verschiedenen Webservern, auf denen normalerweise Anzeigen auf der angezeigten Webseite geschaltet werden.

Cookies von Drittanbietern, die nicht mit der aktuell angezeigten Domain verknüpft sind, ermöglichen es Werbetreibenden, einen Online-Verlauf der Benutzer zu erstellen. Die Anzeigenunternehmen verwenden dann Behavioural Targeting, um gerichtete Anzeigen zu schalten. Hier wird es kompliziert. Ermöglichen Sie die Verfolgung Ihrer Bewegungen im Internet, um Anzeigen zu erhalten, die für Sie besser geeignet sind?

Entfernungsoptionen

In einem andauernden Kampf entwickeln Werbetreibende immer beständigere Cookies. Anschließend entwickeln Sicherheitsexperten neue Methoden, um die Installation von Cookies zu verhindern. Jeder Webbrowser hat seine eigene Art, mit Cookies umzugehen. Überprüfen Sie die Registerkarte oder Einstellungen des Webbrowsers. Datenschutz-Experten schlagen vor, Cookies von Drittanbietern zumindest nicht zuzulassen.

Letztes Jahr wurde leise eine neue Art von Cookie eingeführt. Es wird offiziell als Local Shared Object (LSO) bezeichnet, allgemein als Flash-Cookie bezeichnet. Es ist beständiger als HTTP-Cookies und erfordert zusätzliche Webbrowser-Erweiterungen zum Entfernen.

Der Kekskrieg geht weiter

Zum größten Teil steuern Benutzer, welche Cookies installiert werden. Das wird sich ändern. Während ich einen Artikel recherchierte, stieß ich auf Samy Kamkars (@samykamkar) Website Evercookie - vergiss nie. Der Titel erregte meine Aufmerksamkeit. Was ist ein Evercookie? Hier ist die Beschreibung von Herrn Kamkar:

"Evercookie ist eine JavaScript-API, die in einem Browser extrem dauerhafte Cookies erzeugt. Ziel ist es, einen Client zu identifizieren, selbst nachdem er Standard-Cookies, Flash-Cookies und andere entfernt hat."

Jetzt geht das schon wieder los.

Tiefenanalyse

Wenn der Name Samy Kamkar bekannt vorkommt, dann deshalb, weil er am besten für den Samy-Wurm bekannt ist, den ersten XSS-Wurm, der in weniger als 24 Stunden über eine Million Benutzer auf MySpace infiziert. Derzeit ist er ein unabhängiger Sicherheitsforscher und Mitbegründer von Fonality Inc., einem IP-PBX-Unternehmen.

Da ich kein Experte für die Interaktion von Webbrowsern mit Cookies bin, hielt ich es für das Beste, Herrn Kamkar zu bitten, Evercookie zu erklären:

TechRepublic : Was ist ein Evercookie und warum haben Sie ihn entwickelt? Samy Kamkar : Evercookie ist eine Javascript-API, mit der Cookie-Daten an verschiedenen Orten gespeichert werden können, wenn ein Benutzer eine Webseite besucht. Normale Sites speichern normalerweise nur Daten (z. B. eine Sitzungskennung) in einem Cookie.

Evercookie verwendet jedoch nicht nur das Cookie, sondern auch eine Reihe anderer Speicherorte wie Flash-Cookies, isolierten Silverlight-Speicher und verschiedene Speicherorte für HTML5-Speicher. Wenn ein Benutzer seine Standard-Cookies löscht, bleiben die anderen Speicherorte erhalten und können das ursprüngliche Cookie neu erstellen.

Ich habe Evercookie als Proof of Concept erstellt, um zu zeigen, wie Websites Benutzer verfolgen können, selbst wenn sie Standard-Cookies und LSOs löschen. Evercookie beleuchtet auch die Tatsache, dass es zahlreiche Methoden zum lokalen Speichern von Cookies gibt. Schließlich fungiert Evercookie als Lackmustest für Benutzer, die sehen möchten, ob sie vor Websites geschützt sind, die solche Informationen enthalten. TechRepublic : Mehrere Experten haben kommentiert, dass die folgenden beiden Speichermethoden hervorragend geeignet sind.
  • Speichern von Cookies in RGB-Werten von automatisch generierten, zwangsweise zwischengespeicherten PNGs mithilfe des HTML5-Canvas-Tags zum erneuten Auslesen von Pixeln (Cookies)
  • Speichern von Cookies im Webprotokoll

Können Sie erklären, was sie sind und warum die Experten so denken?

Samy Kamkar : Das Speichern von Cookies im PNG-Bild ist interessant, da ein Bild wirklich nur Daten sind. Die Daten, die Sie speichern möchten, werden in Farbwerte konvertiert. Die Farbwerte werden in einem Bild aneinander gereiht, um eine PNG-Datei zu erstellen.

Evercookie weist den Browser dann an, das Bild 30 Jahre lang in seinem Cache zu speichern. Wenn der Benutzer zur Site zurückkehrt, wird über den Cache auf das Bild zugegriffen, und die Seite liest dann jedes Pixel des Bildes und extrahiert die Farben aus jedem Pixel. Die Farben werden wieder in Text konvertiert, der die ursprünglichen Cookie-Daten erzeugt.

Das Speichern von Cookies im Webprotokoll verwendet eine interessante Funktion von Webbrowsern.

Nehmen wir an, die Cookie-Daten, die wir speichern möchten, sind "bcde". Evercookie greift dann im Hintergrund auf die folgenden URLs zu:

  • google.com/evercookie/cache/b
  • google.com/evercookie/cache/bc
  • google.com/evercookie/cache/bcd
  • google.com/evercookie/cache/bcde
  • google.com/evercookie/cache/bcde-

Diese URLs werden jetzt im Verlauf des Browsers gespeichert. Bei der Suche nach einem Cookie durchläuft Evercookie alle möglichen Zeichen auf google.com/Evercookie/cache/, beginnend mit "a" und nach oben, jedoch nur für ein einzelnes Zeichen.

Sobald eine URL angezeigt wird, auf die zugegriffen wurde, weil sie sich im Verlauf des Browsers befindet, wird versucht, den nächsten Buchstaben brutal zu erzwingen. Dieser Vorgang erfolgt extrem schnell, da keine Anforderungen an den betreffenden Server gestellt werden. Evercookie weiß, dass das Ende der Zeichenfolge erreicht ist, sobald eine URL gefunden wird, die mit "-" endet.

TechRepublic : Ist der Installationsprozess automatisiert oder muss der Benutzer ihn initiieren? Samy Kamkar : Nein, der Kunde besucht einfach die Website. Es gibt keinen Hinweis darauf, dass persistente Daten festgelegt werden, genau wie bei einer Website mit Standard-HTTP-Cookies. TechRepublic : Jede Version des Webbrowsers verfügt über eine Methode zum privaten Surfen. Verhindert dies, dass Evercookie ein Cookie an einem der von Ihnen ausgewählten Orte speichert? Samy Kamkar : Die meisten Funktionen zum privaten Surfen in Webbrowsern stoppen fast alle Funktionen von Evercookie. Das Problem ist, dass nur ein Standort verbleibt, damit der Evercookie den Benutzer im Auge behält. Hoffentlich werden diese Funktionen in zukünftigen Versionen verbessert und alle diese Speichermethoden verhindern. TechRepublic : Kann Evercookie durch Deaktivieren von JavaScript oder Verwenden einer Anwendung wie NoScript besiegt werden? Samy Kamkar : Ja, NoScript oder das Deaktivieren von JavaScript verhindern, dass der Evercookie erstellt wird. TechRepublic : Ich verwende mehr als einen Webbrowser. Funktioniert der Evercookie, wenn ich nach Erhalt des Evercookie zu einem anderen wechsle? Samy Kamkar : Wenn ein Benutzer in einem Browser gekocht wird und zu einem anderen Browser wechselt, wird der Cookie in beiden Browsern reproduziert, solange er noch das Cookie "Lokales gemeinsames Objekt" hat. TechRepublic : Sie haben Local Shared Objects (LSO) erwähnt. Entfernen Erweiterungen wie FlashBlock, CCleaner oder das Fenster "Website-Speichereinstellungen" von Adobe Evercookies Version von LSO? Samy Kamkar : Während diese das LSO stoppen, werden keine anderen Speichermethoden verhindert, und es ist nur ein Speichermechanismus erforderlich, um eine vollständige Verfolgung zu ermöglichen. TechRepublic: Ich habe einige Kommentare von Entwicklern gelesen, dass der Evercookie genau das ist, was einige ihrer Kunden wollen. Wissen Sie, ob dies noch ein Proof of Concept ist oder tatsächlich verwendet wird? Samy Kamkar : Ich weiß nicht, ob Evercookie selbst verwendet wird, aber ich weiß, dass Unternehmen bereits ähnliche, aber weniger leistungsfähige Software eingesetzt haben, um dies zu tun. TechRepublic : Sie haben ein interessantes Motto: "Denken Sie schlecht, tun Sie gut". Können Sie erklären, was Sie meinen? Samy Kamkar : Ich glaube einfach, dass der beste Weg, uns zu schützen, darin besteht, zu verstehen, wie wir überhaupt ausgebeutet werden können. TechRepublic : Sie wurden auch mit den Worten zitiert (mit freundlicher Genehmigung von Ars Technica):

"Ich hoffe, Evercookie zeigt den Menschen einfach, welche Arten von Methoden eingesetzt werden, um sie zu verfolgen und zu entscheiden, ob sie diese Methoden verhindern wollen oder nicht. Evercookie hat weniger als einen Tag gebraucht, um sie für mich als Sicherheitshobbyist zu entwickeln, also kann ich nur Stellen Sie sich die Technologie vor, die finanzierte Entwickler produzieren. "

Was halten Sie von den anhängigen Rechtsstreitigkeiten im Zusammenhang mit Cookies und ihrer Fähigkeit, Online-Reisen zu verfolgen?

Samy Kamkar : Ich bin mir nicht sicher, ob es genug ist, dass Klagen notwendig sind, aber ich glaube, dass Benutzer das volle Recht haben sollten, zu verhindern, dass eine Website sie verfolgt. Ich glaube auch, dass der Webbrowser es einem Benutzer extrem einfach machen sollte, diese Art der Verfolgung zu verhindern. Derzeit macht es jedoch kein Webbrowser einfach. Ich hoffe, dass Evercookie einige neue Funktionen hervorbringen kann, die es einfach machen, Evercookie-ähnliches Tracking zu verhindern.

Evercookie entfernen

Herr Kamkar hatte recht. Ich habe zwei Forscher gefunden, die Methoden entwickelt haben, um Evercookies zu entfernen. Jeremiah Grossman, Gründer und CTO von WhiteHat Security, hat einen Blog geschrieben, in dem gezeigt wird, wie der Evercookie aus Chrome und Firefox entfernt wird. Dominic White, ein Sicherheitsberater von SensePost, hat ein Tool zum Entfernen von Evercookies aus Safari geschrieben.

Ich fragte Herrn Kamkar, ob dies tatsächlich Lösungen seien:

"Es scheint, dass sie Informationen zum Entfernen des Evercookie bereitstellen. Es ist ein so umständlicher und schwieriger Prozess, dass der typische Benutzer sie nicht verwenden würde."

Abschließende Gedanken

Der Kekskrieg ist noch lange nicht vorbei. Es scheint, dass die Standardpräventionspraktiken unzureichend sind, da Cookies aufgrund der neuen Speicherorte ausgeblendet werden können. Die einzig sichere Lösung besteht darin, JavaScript zu deaktivieren, um die Einstellung eines Evercookie zu verhindern.

Ein besonderer Dank geht an Herrn Kamkar - ich habe viele Fragen gestellt.

© Copyright 2021 | pepebotifarra.com