[Sikkerhetskunnskap] Superinformasjonskapsler kan bryte personvernmodusen og fortsatt spore brukerinformasjon

For øyeblikket tilbyr alle større nettlesere en personvernbeskyttelsesmodus. I denne modusen kan ikke nettstedscookies spore brukerens identitet. For eksempel tilbyr Google Chrome en funksjon kalt «Inkognito», mens Firefox tilbyr en «Privacy Window»-funksjon.

Denne nylig oppdagede sårbarheten vil imidlertid føre til at nettleserens personvernmodus feiler. For eksempel, når en bruker bruker en vanlig nettleser, handler på Amazon.com eller blar gjennom Facebook, kan brukeren åpne et personvernvindu for å bla gjennom en blogg med kontroversielt innhold. Hvis bloggen bruker samme annonsenettverk som Amazon eller integrerer Facebooks «Liker»-knapp, kan annonsører og Facebook vite at brukere besøker den kontroversielle bloggen samtidig som Amazon og Facebook.

Det finnes en midlertidig løsning på denne sårbarheten, men den er tungvint: brukere kan slette alle informasjonskapsler før de aktiverer personvernmodus, eller bruke en dedikert nettleser for å surfe helt i personvernmodus.

Ironisk nok skyldes denne sårbarheten en funksjon som skal styrke personvernet.

Hvis en bruker bruker et prefiks https:// i nettleserens adressefelt for å kryptere kommunikasjon fra visse nettsteder, vil noen nettlesere huske dette. Nettleseren lagrer en «super-cookie» for å sikre at neste gang brukeren kobler seg til nettstedet, går nettleseren automatisk inn i https-kanalen. Dette minnet vil vedvare selv om brukeren har aktivert personvernmodus.

Samtidig gjør slike supercookies det mulig for tredjeparts nettprogrammer, som annonser og sosiale medier-knapper, å huske brukeren.

Sam Greenhelgh, den uavhengige forskeren som oppdaget sårbarheten, sa i et blogginnlegg at denne funksjonen ennå ikke brukes av noe selskap. Men etter at denne metoden ble offentliggjort, var det ingen måte å stoppe selskaper fra å gjøre det på.

Eugene Kuznetsov, medgründer av nettbasert personvernprogramvare Abine, mener at denne «supercookien» vil bli neste generasjons sporingsverktøy. Dette verktøyet ble født ut av kjeks, men det ble mer sofistikert. For øyeblikket har brukerne alltid en unik enhetsidentifikator og et unikt nettleserfingeravtrykk under surfing, som er vanskelige å slette.

Internettanonymitet har blitt vanskeligere på grunn av eksistensen av «supercookies». Kuznetsov sa: «Vi har sett et våpenkappløp om personvernbeskyttelse. Ønsket om å spore internettbrukere er som en parasitt. Alt i nettleseren din blir gransket av nettsteder og annonsører, noe som gir mer sporing. ”

Mozilla har allerede fikset dette i den nyeste versjonen av Firefox, mens Google pleier å la Chrome være som det er. Google kjenner allerede til problemet med «supercookies», men velger likevel å fortsette å aktivere Chromes https-minnefunksjon. Mellom sikkerhet og personvern har Google valgt det første.

Microsoft Internet Explorer har ikke et slikt problem, fordi denne nettleseren ikke har innebygd https-minnefunksjon.

Greenhal sa også at på iOS-enheter eksisterer problemet forårsaket av «supercookies» også.