Исследователь разоблачил очередной секрет неудаляемых cookie
Исследователь, занимающийся вопросами конфиденциальности, разоблачил схему, стоящую за платным аналитическим сервисом, позволяющим следить за пользователями более чем 500 сайтов даже тогда, когда сохранение cookies отключено, а сайты просматриваются при включенном режиме конфиденциальности браузера.
Метод, работающий на таких сайтах, как Hulu, Spotify и GigaOm, не однозначен, поскольку позволяет аналитикам KISSmetrics получить данные о детальной истории просмотренных страниц даже если пользователи приложили старания, чтобы предотвратить отслеживание просмотренных ими сайтов. Технология может “воскрешать” удалённых cookie и позволяет собирать историю просмотренных пользователем страниц с двух и более разных браузеров. Это выяснилось лишь после того, как исследователи опубликовали статью в конце прошлого месяца.
Генеральный директор KISSmetrics ответил сообщением на своём сайте, где заявил, что исследование “значительно искажает наши технологии и методы”. Компания также добавила, что “право отказа для тех пользователей, которые желают быть полностью удалённым из системы слежения KISSmetrics, выходят далеко за пределы возможностей, предоставляемых другими аналитическими компаниями”.
Ашкан Солтани, один из исследователей, сделавших открытие, отметил, что тот факт, что KISSmetrics недавно обновили свою политику в области конфиденциальности не делает ясным то, как именно пользователи могут отказаться от слежки.
В центре метода отслеживания находится использование уникального идентификатора, известного как ETag, в кэше браузера и в папках с метаданными. JavaScript, расположенный на kissmetrics.com, получает доступ к серийному номеру каждый раз, когда просматривается один из сайтов с установленной статистикой KISSmetrics.
“Он эффективно действует как cookie, при каждом соединении с KISSmetrics он будет отправлять ссылку и ETag“, – сказал Солтани в интервью, – “ETag эффективно действует как cookie. По своему смыслу он в точности совпадает с cookie“.
Аналитики KISSmetrics соединили метод использования ETag с несколькими другими технологиями, использующими cookie на основе Adobe Flash и HTML 5 для воспроизведения cookie даже в том случае, если пользователь специально удалил их. Солтани и его коллеги первыми задокументировали этот подлый ход в 2009 году и назвали его “респауном” cookie.
Компания Adobe отреагировала на это, создав возможность легко удалить Flash cookie используя стандартные функции в меню браузера. Появление на серверах алгоритмов, выявляющих данные ETag, означает, что произошёл ещё один тривиальный прецедент, когда аналитические службы не принимают во внимание желания посетителей, не хотящих, чтобы их отслеживали.
“Чем точнее они смогут определить количество людей, посетивших их сайты, тем большую ценность будут представлять для своих клиентов”, – объяснил Солтани, – “Это означает, что вы, как человек, однозначно не желающий быть объектом слежки, можете попытаться отказаться. Но они заинтересованы в том, чтобы найти возможности для игнорирования подобного отказа”.
Солтани сказал, что единственный способ блокировать отслеживание – это блокировка всех cookies и очистка кэша браузера после посещения каждого сайта. Он опубликовал детальное техническое описание нового метода здесь.