Supercookies, Zombie Cookies และ Evercookies คืออะไร และเป็นอันตรายหรือไม่

การติดตามถือเป็นข้อกังวลด้านความเป็นส่วนตัวที่ใหญ่ที่สุดประการหนึ่งสำหรับ ผู้ใช้ คุกกี้มา โดยตลอด แต่สิ่งนี้เปลี่ยนแปลงไปเนื่องจากอินเทอร์เน็ต แม้ว่าคุกกี้ของเบราว์เซอร์ปกติจะค่อนข้างมีประโยชน์และล้างได้ง่ายแต่ก็มีรูปแบบอื่นๆ ที่สร้างขึ้นเพื่อติดและติดตามกิจกรรมการท่องเว็บของผู้ใช้ สองรูปแบบเหล่านี้คือคุกกี้ซุปเปอร์คุกกี้และคุกกี้ซอมบี้ (รู้จักกันทั่วไปในชื่อ "Evercookies") ทั้งสองสายพันธุ์นี้มีชื่อเสียงเพราะสร้างปัญหามากมายให้กับผู้ที่ต้องการลบออก โชคดีที่พวกเขา "ได้รับ" ความสนใจที่เหมาะสมจากผู้เชี่ยวชาญด้านความปลอดภัย และเว็บเบราว์เ��อร์ในปัจจุบันก็มีการพัฒนาอย่างต่อเนื่องเพื่อต่อสู้กับเทคนิคการติดตามการแอบอ้างที่ซับซ้อนเหล่านี้

ซุปเปอร์คุกกี้

คำนี้อาจทำให้สับสนเล็กน้อยเนื่องจากใช้เพื่ออธิบายเทคโนโลยีที่แตกต่างกันจำนวนหนึ่ง ซึ่งบางส่วนเป็นคุกกี้จริงๆ โดยทั่วไป คำนี้หมายถึงสิ่งที่แทนที่โปรไฟล์การท่องเว็บของคุณเพื่อให้รหัสเฉพาะแก่คุณ ด้วยวิธีนี้ พวกเขาสนับสนุนฟังก์ชันเดียวกับคุกกี้ ทำให้เว็บไซต์และผู้โฆษณาสามารถติดตามคุณได้ แต่ไม่สามารถลบได้ ซึ่งต่างจากคุกกี้ตรงที่

คุณมักจะได้ยินคำว่า “คุกกี้พิเศษ” ที่ใช้อ้างอิงถึง Unique Identifier Headers (UIDH) และเป็นช่องโหว่ใน HTTP Strict Transport Security (HSTS) แม้ว่าวลีดั้งเดิมจะหมายถึงคุกกี้ที่มาจากโดเมนระดับบนสุดซึ่งหมายความว่าสามารถตั้งค่าคุกกี้สำหรับชื่อโดเมน เช่น “.com” หรือ “.co.uk” ได้ ทำให้เว็บไซต์ใดๆ ที่มีส่วนต่อท้ายโดเมนนั้นสามารถดูได้

หาก Google.com ตั้งค่าซูเปอร์คุกกี้ คุกกี้นั้นจะปรากฏแก่ไซต์ ".com" อื่น ๆ เห็นได้ชัดว่านี่เป็นปัญหาความเป็นส่วนตัว แต่เนื่องจากเป็นคุกกี้ทั่วไป เบราว์เซอร์สมัยใหม่ส่วนใหญ่จะบล็อกคุกกี้ตามค่าเริ่มต้น เนื่องจากไม่มีใครพูดถึงซูเปอร์คุกกี้ประเภทนี้อีกต่อไป คุณจึงมักจะได้ยินเกี่ยวกับอีกสองคุกกี้มากขึ้น (คุกกี้ซอมบี้ และ เอเวอร์คุกกี้)

ส่วนหัวตัวระบุที่ไม่ซ้ำ (UIDH)

โดยปกติแล้วส่วนหัวของตัวระบุที่ไม่ซ้ำกันจะไม่ปรากฏบนคอมพิวเตอร์ของคุณ แต่จะปรากฏระหว่าง ISP ของคุณและเซิร์ฟเวอร์ของเว็บไซต์ นี่คือวิธีการสร้าง UIDH:

1. คุณส่งคำขอเว็บไซต์ไปยัง ISP ของคุณ
2. ก่อนที่ ISP ของคุณจะส่งต่อคำขอไปยังเซิร์ฟเวอร์ ISP จะเพิ่มสตริงตัวระบุที่ไม่ซ้ำกันในส่วนหัวของคำขอของคุณ
3. สตริงตัวระบุที่ไม่ซ้ำนี้ช่วยให้เว็บไซต์ระบุตัวคุณเป็นผู้ใช้คนเดียวกันทุกครั้งที่คุณเยี่ยมชม แม้ว่าคุณจะล้างคุกกี้แล้วก็ตาม เมื่อเว็บไซต์รู้ว่าคุณเป็นใคร พวกเขาเพียงตั้งค่าคุกกี้เดียวกันนี้ลงในเบราว์เซอร์ของคุณโดยตรง

พูดง่ายๆ ก็คือ หาก ISP ของคุณใช้การติดตาม UIDH ระบบจะส่ง “ลายเซ็น” ส่วนตัวของคุณไปยังทุกเว็บไซต์ที่คุณเยี่ยมชม สิ่งนี้มีประโยชน์เป็นหลักในการเพิ่มประสิทธิภาพรายได้จากการโฆษณา แต่ก็น่ารำคาญมากพอที่ FCC จะปรับ Verizon 1.35 ล้านดอลลาร์เนื่องจากไม่แจ้งลูกค้าเกี่ยวกับเรื่องนี้หรือไม่ให้ข้อมูลดังกล่าว ให้ทางเลือกแก่พวกเขาในการยกเลิก

ภายนอก Verizon มีข้อมูลไม่มากนักที่บริษัทต่างๆ ใช้ข้อมูลสไตล์ UIDH แต่ปฏิกิริยาโต้ตอบของผู้บริโภคทำให้เป็นกลยุทธ์ที่ไม่เป็นที่นิยม แม้จะใช้งานได้กับการเชื่อมต่อ HTTP ที่ไม่ได้เข้ารหัสเท่านั้น นอกจากนี้ เนื่องจากเว็บไซต์ส่วนใหญ่ในปัจจุบันใช้ HTTPS เป็นค่าเริ่มต้นและคุณสามารถดาวน์โหลดส่วนเสริมอย่าง HTTPS Everywhere ได้อย่างง่ายดาย Supercookie นี้จึงไม่ใช่เรื่องใหญ่อีกต่อไปและอาจจะไม่ใช้กันอย่างแพร่หลาย หากคุณต้องการการปกป้องอีกชั้น ให้ใช้VPN VPNช่วยให้มั่นใจได้ว่าคำขอของคุณจะถูกส่งต่อไปยังเว็บไซต์โดยไม่ต้องแนบ UIDH

HTTPS การรักษาความปลอดภัยการถ่ายโอนที่เข้มงวด (HSTS)

HSTS (HTTP Strict Transport Security) เป็นนโยบายความปลอดภัยที่จำเป็นในการปกป้องเว็บไซต์ที่ปลอดภัย HTTPS จากการโจมตีระดับต่ำ HSTS ตรวจสอบให้แน่ใจว่าการเชื่อมต่อทั้งหมดไปยังเว็บไซต์ได้รับการเข้ารหัสโดยใช้โปรโตคอล HTTPSและไม่เคยใช้โปรโตคอล HTTP ปัจจุบัน Google ใช้ HSTS กับโดเมนระดับบนสุด 45 โดเมน รวมถึงชื่อโดเมนที่ลงท้ายด้วย .google, .how และ .soy

HSTS เป็นทางออกที่ดีจริงๆ ช่วยให้เบราว์เซอร์ของคุณเปลี่ยนเส้นทางไปยังเว็บไซต์เวอร์ชัน HTTPS ได้อย่างปลอดภัย แทนที่จะเป็นเวอร์ชัน HTTP ที่ไม่ปลอดภัย น่าเสียดายที่สามารถใช้สร้างซูเปอร์คุกกี้ได้ด้วยสูตรต่อไปนี้:

1. สร้างโดเมนย่อยหลายรายการ (เช่น “domain.com,” “subdomain2.domain.com”...)
2. กำหนดหมายเลขสุ่มให้กับผู้เยี่ยมชมหน้าหลักของคุณแต่ละคน
3. บังคับให้ผู้ใช้โหลดโดเมนย่อยทั้งหมดของคุณโดยการเพิ่มพิกเซลที่ซ่อนอยู่ในหน้าเว็บ หรือเปลี่ยนเส้นทางผู้ใช้ผ่านแต่ละโดเมนย่อยในขณะที่โหลดหน้าเว็บ
4. สำหรับโดเมนย่อยบางรายการ กำหนดให้เบราว์เซอร์ของผู้ใช้ต้องใช้ HSTS เพื่อสลับไปใช้เวอร์ชันที่ปลอดภัย สำหรับบางคน พวกเขาปล่อยให้โดเมนเป็น HTTP ไม่ปลอดภัย
5. หากเปิดใช้นโยบาย HSTS ของโดเมนย่อย ระบบจะนับเป็น “1” หากปิดอยู่จะนับเป็น "0" เมื่อใช้กลยุทธ์นี้ เว็บไซต์สามารถบันทึกหมายเลข ID สุ่มของผู้ใช้เป็นไบนารีในการตั้งค่า HSTS ของเบราว์เซอร์
6. ทุกครั้งที่ผู้เยี่ยมชมกลับมา เว็บไซต์จะตรวจสอบนโยบาย HSTS บนเบราว์เซอร์ของผู้ใช้ HSTS จะส่งกลับเลขฐานสองที่สร้างขึ้นเริ่มต้นเดียวกันกับที่ระบุผู้ใช้

ฟังดูซับซ้อน แต่สรุปสั้นๆ ก็คือ เว็บไซต์สามารถทำให้เบราว์เซอร์ของคุณสร้างและจดจำการตั้งค่าความปลอดภัยสำหรับหลายๆ เพจ และครั้งต่อไปที่คุณเข้าชมก็สามารถบอกได้ว่าคุณเป็นใครผ่านข้อมูล get

Apple ยังได้แนะนำวิธีแก้ไขปัญหานี้ เช่น อนุญาตให้ตั้งค่า HSTS สำหรับโดเมนหลักหนึ่งหรือสองโดเมนต่อไซต์เท่านั้น และการจำกัดจำนวนการเปลี่ยนเส้นทางที่ไซต์ได้รับอนุญาตให้ใช้ เบราว์เซอร์อื่นๆ มีแนวโน้มที่จะปฏิบัติตามมาตรการรักษาความปลอดภัยเหล่านี้ (เช่น โหมดไม่ระบุตัวตนของ Firefox) แต่เนื่องจากไม่มีการยืนยันเกี่ยวกับประสิทธิภาพ จึงไม่ได้เป็นเช่นนั้น สิ่งสำคัญที่สุดสำหรับเบราว์เซอร์ส่วนใหญ่ คุณสามารถแก้ไขปัญหาได้ด้วยตนเองโดยการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการติดตั้งและลบนโยบาย HSTS ด้วยตนเอง

คุกกี้ซอมบี้/Evercookies

คุกกี้ซอมบี้หรือที่รู้จักกันในชื่อ Evercookie นั้นเป็น JavaScript API ที่สร้างขึ้นเพื่อแสดงให้เห็นถึงความยากลำบากที่คุณจะต้องเผชิญในการพยายามลบคุกกี้

ไม่สามารถลบคุกกี้ซอมบี้ได้เนื่องจากถูกซ่อนอยู่นอกพื้นที่จัดเก็บคุกกี้ปกติของคุณ ที่เก็บข้อมูลในเครื่องเป็นเป้าหมายหลักของคุกกี้ Zombie ( Adobe Flashและ Microsoft Silverlight ใช้บ่อย) และ ที่เก็บข้อมูล HTML5 บางส่วน ก็อาจเป็นปัญหาได้เช่นกัน คุกกี้ซอมบี้อาจอยู่ในประวัติการเข้าชมของคุณ หรือใน รหัสสี RGBที่เบราว์เซอร์ของคุณอนุญาตให้แคชได้

อย่างไรก็ตาม ช่องโหว่ด้านความปลอดภัยจำนวนมากก็ค่อยๆ หายไป Flash และ Silverlight ไม่ใช่ส่วนสำคัญของการออกแบบเว็บไซต์สมัยใหม่ และเบราว์เซอร์จำนวนมากตอนนี้ไม่เสี่ยงต่อ Evercookie อีกต่อไป เนื่องจากมีวิธีต่างๆ มากมายที่คุกกี้เหล่านี้สามารถรบกวนและ "ปรสิต" ระบบของคุณได้ จึงไม่มีทางที่จะป้องกันตัวเองได้ แต่กิจวัตรการทำความสะอาดเบราว์เซอร์ไม่ใช่ความคิดที่ดี ถือเป็นมาตรการที่ไม่ดี

เราจะปลอดภัยหรือไม่?

การพัฒนาเทคโนโลยีการติดตามออนไลน์เป็นการแข่งขันที่ดุเดือดในโลกความปลอดภัยในปัจจุบัน ดังนั้นหากความเป็นส่วนตัวคือสิ่งที่คุณกังวลเป็นพิเศษ คุณน่าจะคุ้นเคยกับความจริงที่ว่าเราไม่สามารถรับประกันได้ว่าจะปลอดภัย 100% ในสภาพแวดล้อมออนไลน์

อย่างไรก็ตาม คุณไม่จำเป็นต้องกังวลมากเกินไปเกี่ยวกับซูเปอร์คุกกี้ เนื่องจากคุกกี้เหล่านี้ไม่ธรรมดาเกินไปและกำลังถูกบล็อกอย่างจริงจังมากขึ้นเรื่อยๆ คุกกี้เหล่านี้ยังคงใช้งานได้จนกว่าจะมีการแก้ไขช่องโหว่ และสามารถอัปเดตด้วยเทคโนโลยีใหม่ได้ตลอดเวลา

ดูเพิ่มเติม:

• วิธีลบคุกกี้บน Chrome สำหรับแต่ละเว็บไซต์
• คุกกี้ไม่ทำให้คอมพิวเตอร์ของคุณเสียหายใช่ไหม
• วิธีลบแคชและคุกกี้บน Chrome, Firefox และ Coc Coc
• คำแนะนำในการลบคุกกี้ใน Windows PC