Evercookie browser-Sicherheit

Ich habe gerade entdeckt, Evercookie Projekt auf Github.

Evercookie ist eine Javascript-API, erzeugt extrem dauerhafte cookies im browser. Sein Ziel ist, um einen client zu identifizieren, auch nachdem Sie entfernt haben standard-cookies, Flash-cookies (Local Shared Objects oder LSOs), und andere.

Dies wird erreicht durch die Speicherung der cookie-Daten, wie viele browser-storage-Mechanismen wie möglich. Wenn die cookie-Daten entfernt wird, aus jedem der Speicher-Mechanismen, evercookie aggressiv neu erstellt es in jedem Mechanismus, so lange man immer noch intakt.

Wenn die LSO-Mechanismus verfügbar ist, Evercookie können sich sogar vermehren cookies zwischen verschiedenen Browsern auf der gleichen client-Computer!

Getestet habe ich es online, auf diese Beispiel-Seite. Ich klickte auf "Erstellen evercookie" - Taste, die ich gelöscht Sie alle Browser-Daten und ich aktualisiert die Seite. Die cookies, die gelöscht wurden, durch löschen von Browser-Daten wieder da.

Wo ist die "browser-Sicherheit" in dieser Sache? Ist diese gesichert?

  • VERWENDEN SIE NICHT DIESES! Chrome blockiert Skripte mit evercookie im Namen, das ist deine erste Hinweis, dass es schlechte Nachrichten. Wenn Sie es umbenennen, Chrome, sieht eine Globale variable namens evercookie und sendet eine Anfrage an die Server von Google zum anmelden Ihrer Website-URL. Wenn Sie es auf eine Produktions-website, ich gehe davon aus, dass Ihre Domäne wird markiert als unsicher.
  • (Ich weiß, es sind 6 Jahre, aber trotzdem... ) Die von Ihnen gestellte Frage ist, ob Evercookie verwendet werden soll oder nicht, aber die akzeptierte Antwort ist, der angibt, wie zu schützen von Ihrem invasiven Verhalten. Ich bin auch daran interessiert zu erfahren, andere Meinung - also wie haben Sie das akzeptiert die post als Antwort auf deine Frage ? Andere Art: - was hast du heraus gefunden, es ist ok, oder nicht ?
InformationsquelleAutor Ionică Bizău | 2013-05-10
  1. 1

    In Reihenfolge zu erstellen ein Evercookie, alles, was Sie brauchen, ist:

    • Die Fähigkeit zum ausführen von JavaScript (oder andere aktive Inhalte wie Flash und vielleicht Java); und
    • Die Möglichkeit, die verschiedenen client-side-Orte, wo Kopien der cookie-Daten gespeichert werden.

    Völlig deaktivieren der Zugriff auf alle storage-Mechanismen machen die meisten von Ihnen nutzlos; für die meisten von Ihnen, Ihre gesamte Existenzberechtigung ist zu erlauben, ein Skript zu verwenden. Also das nur noch aus der Ferne machbar ist, einschränken des Zugriffs von der domain. Ich bin mir nicht sicher, welche Browser (wenn überhaupt) ermöglichen, die Art der Granularität, obwohl. Die meisten können es zulassen oder blockieren von JS als ganzes aus bestimmten Domänen, aber als für das, was Funktionen einen bestimmten domain-scripts verwenden können...? Ich bin nicht zu sehen, die Fähigkeit, in Chrome 26 oder IE 10, mindestens.

    InformationsquelleAutor cHao
  2. 2

    Wenn Sie möchten, deaktivieren Sie Flash-basierte cookies, verwenden Sie Adobe ' s "Global Storage Settings" - panel hier:

    http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager03.html

    Durchführen alle der folgenden Schritte aus:

    1. Deaktivieren Sie "Allow 3rd-Party-Flash-Inhalten, um Daten auf dem computer speichern"
    2. Kontrollkästchen "Nie wieder Fragen" (eine nicht offensichtliche, aber wichtige Schritt)
    3. Auf die 2 letzten tab: "Website-Speichereinstellungen"
    4. Löschen Sie alle vorhandenen Daten

    Chrom bündelt seine eigenen Flash-plugin unter Windows und Mac OS X. Die Einstellungen und disk-Speicher werden getrennt von den plugin verpackt direkt von Adobe, so müssen Sie möglicherweise führen Sie die oben beschriebenen Schritte zweimal, wenn Sie Chrome verwenden. Auf der plus-Seite, die separate Lagerort verhindert, dass Flash verwendet wird, um die Synchronisierung von cookies zu oder von Chrome und anderen Browsern.

    Empfehle ich die Prüfung mit meiner persönlichen Website:

    http://noc.to

    Den "Zombie-Cookies" Abschnitt können Sie zeigen, genau wie cookies wiederhergestellt werden und Ihnen helfen, festzustellen, wenn die oben beschriebenen Schritte (oder irgendwelche tools, die Sie verwenden) arbeiten.

    InformationsquelleAutor dimalinux
  3. 1

    Gut, es scheint nicht zu funktionieren sehr gut.

    • Erstellt das everCookie
    • Das Fenster geschlossen
    • Leeren Sie alle Elemente der Firefox-cache (nur durch löschen der jüngsten Geschichte des anc, überprüfen Sie alles, außer dem Website-Einstellungen)
    • Das Fenster geschlossen
    • Kam Sie zurück zu der Seite
    • Schließlich merkte, dass er nicht gespeichert

    Was merkwürdig ist ist, dass ich dind nicht explizit entfernt Flash-cookies, Flash-Website-Speichereinstellungen. Vielleicht ist es in Firefox integriert. Oder vielleicht habe ich diese deaktiviert.

    Ich denke, es gibt einige andere Möglichkeiten, wie die Speicherung von cookies und trace Sie. Facebook ist bereits verfolgen Sie alle über das Internet, auch wenn die Verbindung getrennt. Google (benutzt du Chrome?). Außerdem, mit IPv4-Adressen, die wir sicherlich finden, dass Sie wieder (warum nicht einfach nach haben Sie Ihren cache geleert!). Wir können auch feststellen, Sie zurück, während Sie sich zurück auf einer beliebigen Website, und stellen Sie eine Verbindung mit Ihrem früheren Sitzungen.

    Schlage ich vor:

    • Mit Firefox, auch es ist langsamer als Chrome, ist es immer noch mehr Respekt vor der Privatsphäre
    • Entfernen der gesamten Internet-cache auf den Fenster schließen (tut mir Leid, Sie müssen sich wieder auf Ihre bevorzugten Websites)
    • Überprüfen third-party-cookie-Optionen
    • Verwenden Sie browser-addons mit Sorgfalt
    • Check Flash & Silverlight-cookie Optionen
    • Vermeiden website reputation-Prüfung (vorausgesetzt, Sie können erkennen, ein fishing-Versuch)
    • Private-browsing-Modus, wenn Sie nicht wollen, teilen Sie Ihr digitales Leben
    InformationsquelleAutor KrisWebDev
Schreibe einen Kommentar