Việc để một người hàng xóm tò mò tìm thấy công thức bí mật của bạn từng là vấn đề lớn nhất về quyền riêng tư đối với cookie, nhưng điều đó đã thay đổi nhờ Internet. Mặc dù cookie của trình duyệt thông thường thường hữu ích và dễ xóa, nhưng vẫn có những biến thể khác được xây dựng để bám sát và giữ các tab cho bạn. Hai trong số những loại này, supercookies và zombie cookie (thường được gọi là “Evercookies”), có thể đặc biệt khó loại bỏ. May mắn thay, chúng đã không bị chú ý và các trình duyệt đang phát triển để chống lại các kỹ thuật theo dõi lén lút này.
Siêu tân binh
Thuật ngữ này có thể hơi khó hiểu vì nó được sử dụng để mô tả một số công nghệ khác nhau, chỉ một số trong số đó thực sự là cookie. Tuy nhiên, nói chung, nó đề cập đến bất kỳ thứ gì thay đổi hồ sơ duyệt web của bạn để cung cấp cho bạn một ID duy nhất. Bằng cách này, chúng có chức năng giống như cookie, cho phép các trang web và nhà quảng cáo theo dõi bạn, nhưng không giống như cookie, chúng thực sự không thể bị xóa.
Bạn sẽ thường nghe thấy thuật ngữ “siêu tân binh” được sử dụng để tham chiếu đến Tiêu đề mã nhận dạng duy nhất (UIDH) và như một lỗ hổng trong Bảo mật truyền tải nghiêm ngặt HTTP hoặc HSTS, mặc dù thuật ngữ gốc đề cập đến các cookie bắt nguồn từ các miền cấp cao nhất. Điều này có nghĩa là một cookie có thể được đặt cho một miền như “.com” hoặc “.co.uk”, cho phép bất kỳ trang web nào có hậu tố miền đó nhìn thấy nó.
Nếu Google.com đặt một siêu tân binh, cookie đó sẽ hiển thị trên bất kỳ trang web “.com” nào khác. Đây là một vấn đề rõ ràng về quyền riêng tư, nhưng vì nó là một cookie thông thường, nên hầu hết các trình duyệt hiện đại đều chặn chúng theo mặc định. Vì không còn ai nói nhiều về loại siêu tân binh này nữa, nên nhìn chung, bạn sẽ được nghe nhiều hơn về hai loại còn lại.
Tiêu đề mã định danh duy nhất (UIDH)
Tiêu đề số nhận dạng duy nhất hoàn toàn không có trên máy tính của bạn - nó diễn ra giữa ISP của bạn và máy chủ của trang web. Đây là cách thực hiện:
- Bạn gửi yêu cầu về một trang web tới ISP của mình.
- Trước khi ISP của bạn chuyển tiếp yêu cầu tới máy chủ, ISP sẽ thêm một chuỗi số nhận dạng duy nhất vào tiêu đề yêu cầu của bạn.
- Chuỗi này cho phép các trang web xác định bạn là cùng một người dùng bất cứ khi nào bạn truy cập, ngay cả khi bạn đã xóa cookie của họ. Sau khi biết bạn là ai, họ có thể đặt lại chính những cookie đó vào trình duyệt của bạn.
Nói một cách dễ hiểu, nếu một ISP đang sử dụng theo dõi UIDH, thì nó sẽ gửi chữ ký cá nhân của bạn đến mọi trang web bạn truy cập (hoặc những người đã trả tiền cho ISP đó). Nó chủ yếu hữu ích để tối ưu hóa doanh thu quảng cáo, nhưng nó đủ xâm hại đến mức FCC đã phạt Verizon 1,35 triệu USD vì không thông báo cho khách hàng của họ về điều này hoặc cho họ tùy chọn từ chối.
Ngoài Verizon, không có nhiều dữ liệu về những công ty nào đang sử dụng thông tin UIDH, nhưng phản ứng dữ dội của người tiêu dùng đã khiến nó trở thành một chiến lược khá phổ biến. Thậm chí tốt hơn, nó chỉ hoạt động trên các kết nối HTTP không được mã hóa và vì hầu hết các trang web hiện sử dụng HTTPS theo mặc định và bạn có thể dễ dàng tải xuống các tiện ích mở rộng như HTTPS Everywhere, siêu tân binh này thực sự không còn nhiều vấn đề nữa và có lẽ không còn được sử dụng rộng rãi. Nếu bạn muốn được bảo vệ thêm, hãy sử dụng VPN. Điều này đảm bảo rằng yêu cầu của bạn sẽ được chuyển đến trang web mà không có UIDH của bạn đính kèm.
Bảo mật truyền nghiêm ngặt HTTPS (HSTS)
Đây là một loại siêu tân binh hiếm hoi chưa được xác định cụ thể trên bất kỳ trang web cụ thể nào, nhưng có vẻ như nó đang bị khai thác, vì Apple đã vá lỗi Safari chống lại nó, trích dẫn các trường hợp tấn công đã được xác nhận.
HSTS thực sự là một điều tốt. Nó cho phép trình duyệt của bạn chuyển hướng an toàn đến phiên bản HTTPS của một trang web thay vì phiên bản HTTP không an toàn. Thật không may, nó cũng có thể được sử dụng để tạo ra một siêu tân binh với công thức sau:
- Tạo nhiều tên miền phụ (như “domain.com”, “subdomain2.domain.com,” v.v.).
- Gán cho mỗi khách truy cập vào trang chính của bạn một số ngẫu nhiên.
- Buộc người dùng tải tất cả các miền phụ của bạn bằng cách thêm chúng vào các pixel ẩn trên trang hoặc chuyển hướng người dùng qua từng miền phụ trong khi tải trang.
- Đối với một số miền phụ, hãy yêu cầu trình duyệt của người dùng sử dụng HSTS để chuyển sang phiên bản bảo mật. Đối với những người khác, hãy để miền dưới dạng HTTP không an toàn.
- Nếu chính sách HSTS của miền phụ được bật, chính sách đó được tính là “1” Nếu tắt, nó được tính là "0" Sử dụng chiến lược này, trang web có thể viết số ID ngẫu nhiên của người dùng dưới dạng nhị phân trong cài đặt HSTS của trình duyệt.
- Mỗi khi khách truy cập quay lại, trang web sẽ kiểm tra các chính sách HSTS trên trình duyệt của người dùng, chính sách này sẽ trả về cùng một số nhị phân được tạo ban đầu, xác định người dùng.
Nghe có vẻ phức tạp, nhưng điều tóm lại là các trang web có thể yêu cầu trình duyệt của bạn tạo và ghi nhớ các cài đặt bảo mật cho nhiều trang và lần sau khi bạn truy cập, nó có thể cho biết bạn là ai vì không ai khác có sự kết hợp chính xác của các cài đặt đó .
Apple đã đưa ra các giải pháp cho vấn đề này, như chỉ cho phép cài đặt HSTS được đặt cho một hoặc hai tên miền chính trên mỗi trang web và giới hạn số lượng chuyển hướng theo chuỗi mà các trang web được phép sử dụng. Các trình duyệt khác có khả năng tuân theo các biện pháp bảo mật này (chế độ ẩn danh của Firefox có vẻ hữu ích), nhưng vì không có bất kỳ trường hợp nào được xác nhận về điều này xảy ra nên đó không phải là ưu tiên hàng đầu đối với hầu hết mọi người. Bạn có thể tự giải quyết vấn đề bằng cách tìm hiểu kỹ một số cài đặt và xóa các chính sách HSTS theo cách thủ công, nhưng đó là về vấn đề đó.
Bánh quy xác sống / Evercookies
Cookie xác sống giống hệt như âm thanh của chúng - những chiếc bánh quy sống lại sau khi bạn nghĩ rằng chúng đã biến mất. Bạn có thể đã thấy chúng được gọi là “Evercookies”, tiếc là không phải là cookie tương đương với yêu tinh vĩnh cửu Wonka. “Evercookie” thực sự là một API JavaScript được tạo ra để minh họa nhiều cách khác nhau mà cookie có thể có được trong nỗ lực xóa của bạn.
Cookie xác sống không bị xóa vì chúng đang ẩn bên ngoài kho lưu trữ cookie thông thường của bạn. Lưu trữ cục bộ là mục tiêu chính (Adobe Flash và Microsoft Silverlight sử dụng điều này rất nhiều) và một số bộ nhớ HTML5 cũng có thể là một vấn đề. Các cookie chết còn sống thậm chí có thể nằm trong lịch sử web của bạn hoặc trong mã màu RGB mà trình duyệt của bạn cho phép vào bộ nhớ cache của nó. Tất cả những gì một trang web phải làm là tìm một trong những cookie ẩn và nó có thể phục hồi những cookie khác.
Tuy nhiên, nhiều lỗ hổng bảo mật này đang biến mất. Flash và Silverlight không phải là một phần quan trọng trong thiết kế web hiện đại và nhiều trình duyệt không còn đặc biệt dễ bị tấn công bởi những nơi ẩn náu khác của Evercookie nữa. Tuy nhiên, vì có rất nhiều cách khác nhau mà những cookie này có thể xâm nhập vào hệ thống của bạn, không có cách nào để bảo vệ bạn. Tuy nhiên, một bộ tiện ích mở rộng quyền riêng tư và thói quen xóa trình duyệt tốt không bao giờ là một ý tưởng tồi!
Chờ đã, chúng ta có an toàn hay không?
Công nghệ theo dõi trực tuyến là một cuộc đua liên tục để dẫn đầu, vì vậy nếu quyền riêng tư là điều gì đó khiến bạn lo ngại, có lẽ bạn nên làm quen với ý tưởng rằng chúng tôi không bao giờ đảm bảo 100% ẩn danh khi trực tuyến.
Tuy nhiên, có lẽ bạn không cần phải lo lắng quá nhiều về các siêu tân binh vì chúng không thường xuyên xuất hiện trong tự nhiên và ngày càng bị chặn. Mặt khác, các cookie zombie / Evercookies khó bị loại bỏ hơn. Nhiều con đường nổi tiếng hơn của họ đã bị đóng cửa, nhưng chúng vẫn có khả năng hoạt động cho đến khi mọi lỗ hổng duy nhất được vá và chúng luôn có thể đưa ra các kỹ thuật mới.