[Знания о безопасности] Super cookies может нарушать режим конфиденциальности и при этом отслеживать информацию пользователей

В настоящее время все основные браузеры предлагают режим защиты конфиденциальности. В этом режиме файлы cookie сайта не могут отслеживать личность пользователя. Например, Google Chrome предлагает функцию «Инкогнито», а Firefox — «Окно конфиденциальности».

Однако эта недавно обнаруженная уязвимость приведёт к сбою режима конфиденциальности браузера. Например, когда пользователь использует обычный браузер, делает покупки на Amazon.com или просматривает Facebook, он может открыть окно конфиденциальности для просмотра блога с спорным контентом. Если блог использует ту же рекламную сеть, что и Amazon, или интегрирует кнопку «Нравится» от Facebook, то рекламодатели и Facebook могут знать, что пользователи посещают спорный блог одновременно с Amazon и Facebook.

Существует временное обходное решение этой уязвимости, но оно громоздко: пользователи могут удалить все файлы cookie до активации режима конфиденциальности или полностью использовать отдельный браузер для просмотра в режиме конфиденциальности.

Ирония в том, что эта уязвимость вызвана функцией, предназначенной для усиления защиты конфиденциальности.

Если пользователь использует префикс https:// в адресной строке браузера для шифрования коммуникаций с определённых сайтов, некоторые браузеры это запомнят. Браузер сохраняет «суперкуки», чтобы при следующем подключении пользователя к сайту браузер автоматически заходил в https-канал. Эта память сохраняется даже если пользователь включил режим конфиденциальности.

В то же время такие суперфайлы cookie позволяют сторонним веб-программам, таким как реклама и кнопки социальных сетей, запоминать пользователя.

Сэм Гринхельг, независимый исследователь, который обнаружил уязвимость, написал в блоге, что эта функция пока не используется ни одной компанией. Однако после того, как этот метод стал публичным, не было никакой возможности остановить компании от этого.

Евгений Кузнецов, соучредитель компании Abine, занимающейся онлайн-программным обеспечением для приватности, считает, что этот «суперкуки» станет следующим поколением инструментов отслеживания. Этот инструмент возник из печенья, но стал более сложным. В настоящее время пользователи всегда имеют уникальный идентификатор устройства и уникальный отпечаток браузера при просмотре, которые трудно стереть.

Анонимность в интернете стала сложнее из-за появления «суперкуки». Кузнецов сказал: «Мы наблюдаем гонку вооружений по защите приватности. Желание отслеживать пользователей Интернета похоже на паразита. Всё, что находится в вашем браузере, находится под пристальным контролем со стороны сайтов и рекламодателей, что позволяет отслеживать их больше. ”

Mozilla уже исправила эту проблему в последней версии Firefox, в то время как Google обычно оставляет Chrome как есть. Google уже знает проблему с «суперкуки», но всё равно решает продолжать включать функцию https-памяти в Chrome. Между безопасностью и защитой приватности Google выбрал первое.

В Microsoft Internet Explorer такой проблемы нет, потому что в этом браузере нет встроенной функции памяти https.

Гринхал также отметил, что на устройствах iOS существует проблема, вызванная «суперфайлами cookie».