گزارش ( نقل شده توسط TheVerge) از محققان پرینستون توضیح می دهد که اتصال رفتار مرور در سراسر اینترنت و هویت واقعی چقدر نسبتا ساده است. گزارش (جاسازی شده در زیر) “کوکی هایی که به شما می دهند: ارزیابی پیامدهای نظارتی ردیابی وب” نامیده می شود.
محققان این مطالعه را در پی افشاگریهای NSA-Snowden انجام دادند و تا حدی انگیزه آنها بود.
محققان بهدنبال این بودند که با «شنود منفعلانه» در شبکه و تجزیه و تحلیل کوکیها، تعیین کنند که چقدر میتوان درباره شناسایی دنیای واقعی آموخت و استنباط کرد. این مطالعه به این نتیجه رسید که “نظارت انبوه” از مشاهده و تطبیق داده های تولید شده از طریق کوکی های ردیابی HTTP شخص ثالث امکان پذیر است.
این گزارش نشان میدهد که حتی HTTPS هم کاری برای جلوگیری از قابلیت نظارت انجام نمیدهد:
ما خزیدن خودکار وب 65 کاربر شبیه سازی شده را در طول سه ماه انجام دادیم و متوجه شدیم که کوکی های منحصر به فرد آنقدر رایج هستند که استراق سمع می تواند به طور قابل اعتماد 90 درصد از وب کاربر را پیوند دهد. بازدید از صفحه به همان شناسه مستعار. (ما صفحاتی را حذف کردیم که اصلاً کوکی شناسه ای ندارند، اما اینها در اقلیت هستند.)
ما همچنین دریافتیم که روش پیوند کوکی بسیار قوی است و تحت شرایط مختلف موفق است (بخش 4.1). ما در نظر گرفتیم که چگونه تغییرات در تاریخ انقضای کوکی، اندازه سابقه کاربر (به عنوان مثال، تعداد صفحات بازدید شده) و انواع صفحات بازدید شده بر تغییرات استراق سمع کننده تأثیر می گذارد و تأثیر آن حداقل است. با این حال، شاید مهمتر از همه، ما متوجه شدیم که این روش نظارتی همچنان میتواند حدود 50 درصد از سابقه کاربر را به همان شناسه مستعار پیوند دهد، حتی با وجود تنها 25 درصد از تراکم فعلی ردیابها در وب. این بدان معناست که حتی اگر 75 درصد از سایتها یا ردیابها استراتژیهای کاهش (مانند استقرار HTTPS) را اتخاذ کنند، استراق سمع هنوز چیزهای زیادی یاد میگیرد.
تطبیق کوکی ها برای شناسایی کاربران مجرد
منبع: دانشگاه پرینستون، “کوکی هایی که به شما هدیه می دهند” (آوریل 2014)
در نمودار بالا، گزارش نشان میدهد که چگونه میتوان از کوکیهای شخص ثالث برای اتصال نقاط و شناسایی یک کاربر استفاده کرد، حتی زمانی که سه آدرس IP مختلف در بازدید از سایتهای مختلف در زمانهای مختلف وجود داشته باشد.
محققان سناریوهای “تهدید” را که از این نوع نظارت غیرفعال از شبکه در نظر گرفته اند، توصیف می کنند:
دشمن ممکن است یکی از دو هدف را داشته باشد: اول اینکه ممکن است دشمن بخواهد فرد خاصی را برای نظارت هدف قرار دهد. در این مورد، حریف یا هویت واقعی هدف را میداند یا یک کوکی شناسه واحد که متعلق به هدف است (چه در دامنهای که معمولاً شخص اول است یا در یک دامنه ردیاب). دوم، ممکن است دشمن درگیر نظارت جمعی باشد. این حریف مایل است تا جایی که ممکن است، ردیابی وب را کشف کند و هویت های دنیای واقعی را با آن مرتبط کند.
محققان در پایان میگویند که امیدوارند این گزارش به «بحث سیاست در مورد نظارت و اکوسیستم ردیابی وب» کمک کند. آنها همچنین میگویند که امیدوارند یافتههایشان به ایجاد انگیزهای برای «رفع مشکلاتی که با عدم استفاده از HTTPS در سایتهای شخص اول شناسایی کردهایم» کمک کند.
مدخلهای مرتبط
نظرات بیان شده در این مقاله نظرات نویسنده مهمان است و لزوماً MarTech نیست. نویسندگان کارکنان اینجا فهرست شدهاند.