Cosa sono i Supercookie, gli Zombie Cookie e gli Evercookie e sono dannosi?

Il tracciamento è sempre stato uno dei maggiori problemi di privacy per gli utenti dei cookie , ma grazie a Internet le cose sono cambiate. Sebbene i normali cookie del browser siano piuttosto utili e facili da cancellare , esistono altre varianti create per mantenere e monitorare le attività di navigazione degli utenti. Due di queste varianti sono i supercookie e i cookie zombie (comunemente noti come "Evercookie"). Queste due varianti sono famose perché causano non poche difficoltà a chi vuole rimuoverle. Fortunatamente, hanno "ricevuto" l'attenzione adeguata da parte degli esperti di sicurezza e i browser Web di oggi sono in costante sviluppo per combattere queste complesse tecniche di tracciamento subdole.

Supercookie

Questo termine può creare un po' di confusione perché viene utilizzato per descrivere una serie di tecnologie diverse, alcune delle quali sono in realtà cookie. In generale, questo termine si riferisce a cose che sovrascrivono il tuo profilo di navigazione per darti un ID univoco. In questo modo supportano le stesse funzioni dei cookie, consentendo ai siti Web e agli inserzionisti di tracciarti, ma a differenza dei cookie, non possono essere cancellati.

Sentirai spesso il termine "supercookie" utilizzato in riferimento agli Unique Identifier Headers (UIDH) e come vulnerabilità in HTTP Strict Transport Security (HSTS), sebbene la frase originale si riferisca ai cookie provenienti dal dominio di primo livello . Ciò significa che è possibile impostare un cookie per un nome di dominio come “.com” o “.co.uk”, consentendo a qualsiasi sito Web con quel suffisso di dominio di vederlo.

Se Google.com imposta un supercookie, quel cookie sarà visibile su qualsiasi altro sito ".com". Questo è ovviamente un problema di privacy, ma poiché per il resto è un cookie normale, la maggior parte dei browser moderni li blocca per impostazione predefinita. Dato che nessuno parla più molto di questo tipo di supercookie, spesso sentirete parlare degli altri due (Zombie Cookies e Evercookies).

Intestazione identificatore univoco (UIDH)

Un'intestazione identificativa univoca solitamente non è presente sul tuo computer, appare tra il tuo ISP e il server del sito web. Ecco come viene creato UIDH:

1. Invii una richiesta per un sito Web al tuo ISP.
2. Prima che il tuo ISP inoltri la richiesta al server, aggiunge una stringa identificativa univoca all'intestazione della tua richiesta.
3. Questa stringa identificativa univoca consente ai siti Web di identificarti come lo stesso utente ogni volta che visiti, anche se hai cancellato i cookie. Una volta che i siti web sanno chi sei, impostano semplicemente lo stesso cookie direttamente nel tuo browser.

In poche parole, se il tuo ISP utilizza il monitoraggio UIDH, invierà la tua “firma” personale a ogni sito web che visiti. Ciò è utile principalmente per ottimizzare le entrate pubblicitarie, ma è abbastanza fastidioso che la FCC abbia multato Verizon di 1,35 milioni di dollari per non aver informato i propri clienti al riguardo o per non aver fornito loro la possibilità di rinunciare.

Al di fuori di Verizon, non ci sono molti dati in cui le aziende utilizzano informazioni in stile UIDH, ma la reazione dei consumatori l'ha resa una strategia impopolare. Anche se funziona solo su connessioni HTTP non crittografate. Inoltre, poiché la maggior parte dei siti Web oggi utilizza HTTPS per impostazione predefinita e puoi facilmente scaricare componenti aggiuntivi come HTTPS Everywhere, questo supercookie non è più un grosso problema e probabilmente non sarà ampiamente utilizzato. Se desideri livelli di protezione aggiuntivi, utilizza una VPN . La VPN garantisce che la tua richiesta verrà inoltrata al sito Web senza UIDH allegato.

HTTPS Strict Transfer Security (HSTS)

HSTS (HTTP Strict Transport Security) è una policy di sicurezza necessaria per proteggere i siti Web protetti tramite HTTPS da attacchi di basso livello. HSTS garantisce che tutte le connessioni a un sito Web siano crittografate utilizzando il protocollo HTTPS e non utilizzino mai il protocollo HTTP. Attualmente, Google sta applicando l'HSTS a 45 domini di primo livello, inclusi i nomi di dominio che terminano con .google, .how e .soy.

HSTS è davvero una buona soluzione. Consente al tuo browser di reindirizzare in modo sicuro alla versione HTTPS di un sito Web anziché alla versione HTTP non sicura. Sfortunatamente, può essere utilizzato anche per creare un supercookie con la seguente formula:

1. Crea più sottodomini (come "dominio.com", "sottodominio2.dominio.com"...).
2. Assegna a ciascun visitatore della tua pagina principale un numero casuale.
3. Forza gli utenti a caricare tutti i tuoi sottodomini aggiungendoli ai pixel nascosti su una pagina o reindirizza gli utenti attraverso ciascun sottodominio durante il caricamento della pagina.
4. Per alcuni sottodomini, è necessario che il browser dell'utente utilizzi HSTS per passare alla versione sicura. Per altri, lasciano il dominio come HTTP non sicuro.
5. Se la policy HSTS del sottodominio è abilitata, viene conteggiata come "1". Se è spento, viene conteggiato come “0”. Utilizzando questa strategia, un sito Web può registrare il numero ID casuale dell'utente come binario nelle impostazioni HSTS del browser.
6. Ogni volta che un visitatore ritorna, il sito Web controllerà le politiche HSTS sul browser dell'utente, HSTS restituirà lo stesso numero binario generato inizialmente che identifica l'utente.

Sembra complicato, ma in breve, il sito web può fare in modo che il tuo browser crei e ricordi le impostazioni di sicurezza per molte pagine e la prossima volta che le visiti, può sapere chi sei attraverso i dati ottenuti.

Apple ha anche introdotto soluzioni a questo problema, come consentire l'impostazione delle impostazioni HSTS solo per uno o due domini principali per sito e limitare il numero di reindirizzamenti che i siti possono utilizzare. È probabile che anche altri browser seguano queste misure di sicurezza (la modalità di navigazione in incognito di Firefox ne è un esempio), ma poiché non è stata fornita alcuna conferma sull'efficacia, questa non è la massima priorità per la maggior parte dei browser. Puoi risolvere tu stesso i problemi apprendendo ulteriori informazioni su alcuni modi per installare e rimuovere manualmente le policy HSTS.

Biscotti zombie/Evercookie

I cookie zombie, noti anche come Evercookie, sono essenzialmente un'API JavaScript creata per illustrare le difficoltà che incontrerai nel tentativo di eliminare un cookie.

I cookie zombie non possono essere eliminati perché sono nascosti al di fuori della normale memorizzazione dei cookie. L'archiviazione locale è uno dei principali obiettivi dei cookie Zombie ( Adobe Flash e Microsoft Silverlight lo utilizzano molto) e anche parte dell'archiviazione HTML5 può rappresentare un problema. I cookie zombie potrebbero anche trovarsi nella cronologia di navigazione o nei codici colore RGB che il tuo browser consente di memorizzare nella cache.

Tuttavia, molte falle di sicurezza stanno gradualmente scomparendo. Flash e Silverlight non sono una parte importante del web design moderno e molti browser ora non sono più vulnerabili a Evercookie. Dato che esistono tanti modi diversi in cui questi cookie possono ostacolare e “parassitare” il tuo sistema, non c’è modo di proteggerti, ma una routine di pulizia del browser non è mai una buona idea.

Siamo al sicuro o no?

Lo sviluppo di tecnologie di tracciamento online è una corsa costante nel mondo della sicurezza di oggi, quindi se la privacy è qualcosa che ti preoccupa particolarmente, probabilmente dovresti abituarti al fatto che non possiamo mai garantire la sicurezza al 100% in un ambiente online.

Tuttavia non bisogna preoccuparsi troppo dei supercookie perché non sono molto diffusi e vengono bloccati in modo sempre più aggressivo. Questi cookie rimangono attivi finché non vengono risolte eventuali vulnerabilità e possono sempre essere aggiornati con nuove tecnologie.

Vedi altro:

• Come eliminare i cookie su Chrome per ciascun sito web
• I cookie non danneggiano il tuo computer?
• Come eliminare cache e cookie su Chrome, Firefox e Coc Coc
• Istruzioni per eliminare i cookie su PC Windows