[Sikkerhedsviden] Supercookies kan bryde privatlivstilstanden og stadig spore brugeroplysninger

I øjeblikket tilbyder alle større browsere en privatlivsbeskyttelsestilstand. I denne tilstand kan websites cookies ikke spore brugerens identitet. For eksempel tilbyder Google Chrome en funktion kaldet "Inkognito", mens Firefox tilbyder en funktion "Privacy Window".

Denne nyopdagede sårbarhed vil dog få browserens privatlivstilstand til at fejle. For eksempel, når en bruger bruger en almindelig browser, handler på Amazon.com eller browser på Facebook, kan brugeren åbne et privatlivsvindue for at browse en blog med kontroversielt indhold. Hvis bloggen bruger det samme annoncenetværk som Amazon eller integrerer Facebooks "Synes godt om"-knap, kan annoncører og Facebook vide, at brugerne besøger den kontroversielle blog samtidig med Amazon og Facebook.

Der findes en midlertidig løsning på denne sårbarhed, men den er besværlig: brugere kan slette alle cookies, før de aktiverer privatlivstilstand, eller bruge en dedikeret browser til at browse helt i privatlivstilstand.

Ironisk nok skyldes denne sårbarhed en funktion, der skal styrke beskyttelsen af privatlivet.

Hvis en bruger bruger et præfiks https:// i browserens adresselinje til at kryptere kommunikation fra bestemte hjemmesider, vil nogle browsere huske dette. Browseren gemmer en "super cookie" for at sikre, at næste gang brugeren forbinder til hjemmesiden, indtaster browseren automatisk https-kanalen. Denne hukommelse vil bevares, selvom brugeren har aktiveret privatlivstilstand.

Samtidig tillader sådanne supercookies også, at tredjeparts webprogrammer, såsom annoncer og sociale medieknapper, kan huske brugeren.

Sam Greenhelgh, den uafhængige forsker, der opdagede sårbarheden, sagde i et blogindlæg, at denne funktion endnu ikke er brugt af nogen virksomhed. Men efter at denne metode blev offentliggjort, var der ingen måde at stoppe virksomheder i at gøre det.

Eugene Kuznetsov, medstifter af online privatlivssoftwarefirmaet Abine, mener, at denne "supercookie" vil blive næste generation af sporingsværktøjer. Dette værktøj blev født ud af småkager, men det blev mere sofistikeret. I øjeblikket har brugerne altid en unik enhedsidentifikator og et unikt browserfingeraftryk under browsing, som er svære at slette.

Internetanonymitet er blevet sværere på grund af eksistensen af "supercookies". Kuznetsov sagde: "Vi har set et våbenkapløb om beskyttelse af privatlivet. Ønsket om at spore internetbrugere er som en parasit. Alt i din browser bliver gransket af hjemmesider og annoncører, hvilket giver mulighed for mere sporing. ”

Mozilla har allerede løst dette i den nyeste version af Firefox, mens Google har en tendens til at lade Chrome være, som det er. Google kender allerede problemet med "super cookies", men vælger stadig at aktivere Chromes https-hukommelsesfunktion. Mellem sikkerhed og privatlivsbeskyttelse har Google valgt det første.

Microsoft Internet Explorer har ikke dette problem, fordi denne browser ikke har en indbygget https-hukommelsesfunktion.

Greenhal sagde også, at på iOS-enheder eksisterer problemet forårsaget af "super cookies" også.