Evercookie browser-Sicherheit
Ich habe gerade entdeckt, Evercookie Projekt auf Github.
Evercookie ist eine Javascript-API, erzeugt extrem dauerhafte cookies im browser. Sein Ziel ist, um einen client zu identifizieren, auch nachdem Sie entfernt haben standard-cookies, Flash-cookies (Local Shared Objects oder LSOs), und andere.
Dies wird erreicht durch die Speicherung der cookie-Daten, wie viele browser-storage-Mechanismen wie möglich. Wenn die cookie-Daten entfernt wird, aus jedem der Speicher-Mechanismen, evercookie aggressiv neu erstellt es in jedem Mechanismus, so lange man immer noch intakt.
Wenn die LSO-Mechanismus verfügbar ist, Evercookie können sich sogar vermehren cookies zwischen verschiedenen Browsern auf der gleichen client-Computer!
Getestet habe ich es online, auf diese Beispiel-Seite. Ich klickte auf "Erstellen evercookie" - Taste, die ich gelöscht Sie alle Browser-Daten und ich aktualisiert die Seite. Die cookies, die gelöscht wurden, durch löschen von Browser-Daten wieder da.
Wo ist die "browser-Sicherheit" in dieser Sache? Ist diese gesichert?
- VERWENDEN SIE NICHT DIESES! Chrome blockiert Skripte mit evercookie im Namen, das ist deine erste Hinweis, dass es schlechte Nachrichten. Wenn Sie es umbenennen, Chrome, sieht eine Globale variable namens evercookie und sendet eine Anfrage an die Server von Google zum anmelden Ihrer Website-URL. Wenn Sie es auf eine Produktions-website, ich gehe davon aus, dass Ihre Domäne wird markiert als unsicher.
- (Ich weiß, es sind 6 Jahre, aber trotzdem... ) Die von Ihnen gestellte Frage ist, ob Evercookie verwendet werden soll oder nicht, aber die akzeptierte Antwort ist, der angibt, wie zu schützen von Ihrem invasiven Verhalten. Ich bin auch daran interessiert zu erfahren, andere Meinung - also wie haben Sie das akzeptiert die post als Antwort auf deine Frage ? Andere Art: - was hast du heraus gefunden, es ist ok, oder nicht ?
Du musst angemeldet sein, um einen Kommentar abzugeben.
In Reihenfolge zu erstellen ein Evercookie, alles, was Sie brauchen, ist:
Völlig deaktivieren der Zugriff auf alle storage-Mechanismen machen die meisten von Ihnen nutzlos; für die meisten von Ihnen, Ihre gesamte Existenzberechtigung ist zu erlauben, ein Skript zu verwenden. Also das nur noch aus der Ferne machbar ist, einschränken des Zugriffs von der domain. Ich bin mir nicht sicher, welche Browser (wenn überhaupt) ermöglichen, die Art der Granularität, obwohl. Die meisten können es zulassen oder blockieren von JS als ganzes aus bestimmten Domänen, aber als für das, was Funktionen einen bestimmten domain-scripts verwenden können...? Ich bin nicht zu sehen, die Fähigkeit, in Chrome 26 oder IE 10, mindestens.
Wenn Sie möchten, deaktivieren Sie Flash-basierte cookies, verwenden Sie Adobe ' s "Global Storage Settings" - panel hier:
http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager03.html
Durchführen alle der folgenden Schritte aus:
Chrom bündelt seine eigenen Flash-plugin unter Windows und Mac OS X. Die Einstellungen und disk-Speicher werden getrennt von den plugin verpackt direkt von Adobe, so müssen Sie möglicherweise führen Sie die oben beschriebenen Schritte zweimal, wenn Sie Chrome verwenden. Auf der plus-Seite, die separate Lagerort verhindert, dass Flash verwendet wird, um die Synchronisierung von cookies zu oder von Chrome und anderen Browsern.
Empfehle ich die Prüfung mit meiner persönlichen Website:
http://noc.to
Den "Zombie-Cookies" Abschnitt können Sie zeigen, genau wie cookies wiederhergestellt werden und Ihnen helfen, festzustellen, wenn die oben beschriebenen Schritte (oder irgendwelche tools, die Sie verwenden) arbeiten.
Gut, es scheint nicht zu funktionieren sehr gut.
Was merkwürdig ist ist, dass ich dind nicht explizit entfernt Flash-cookies, Flash-Website-Speichereinstellungen. Vielleicht ist es in Firefox integriert. Oder vielleicht habe ich diese deaktiviert.
Ich denke, es gibt einige andere Möglichkeiten, wie die Speicherung von cookies und trace Sie. Facebook ist bereits verfolgen Sie alle über das Internet, auch wenn die Verbindung getrennt. Google (benutzt du Chrome?). Außerdem, mit IPv4-Adressen, die wir sicherlich finden, dass Sie wieder (warum nicht einfach nach haben Sie Ihren cache geleert!). Wir können auch feststellen, Sie zurück, während Sie sich zurück auf einer beliebigen Website, und stellen Sie eine Verbindung mit Ihrem früheren Sitzungen.
Schlage ich vor: