آیا «نظارت انبوه» گزارشی برای تسریع در کوکی‌پاکالیپس خواهد داد؟

شیوع دستگاه های تلفن همراه بدون کوکی و دشمنی فزاینده با کوکی‌های شخص ثالث، کوکی را به تقریباً مرگ حتمی علامت‌گذاری کرده است. یک گزارش جدید به عنوان یک ابزار ردیابی آنلاین برای پایان کوکی‌های شخص ثالث به گروه کر اضافه می‌شود.

گزارش ( نقل شده توسط TheVerge) از محققان پرینستون توضیح می دهد که اتصال رفتار مرور در سراسر اینترنت و هویت واقعی چقدر نسبتا ساده است. گزارش (جاسازی شده در زیر) “کوکی هایی که به شما می دهند: ارزیابی پیامدهای نظارتی ردیابی وب” نامیده می شود.

محققان این مطالعه را در پی افشاگری‌های NSA-Snowden انجام دادند و تا حدی انگیزه آن‌ها بود.

محققان به‌دنبال این بودند که با «شنود منفعلانه» در شبکه و تجزیه و تحلیل کوکی‌ها، تعیین کنند که چقدر می‌توان درباره شناسایی دنیای واقعی آموخت و استنباط کرد. این مطالعه به این نتیجه رسید که “نظارت انبوه” از مشاهده و تطبیق داده های تولید شده از طریق کوکی های ردیابی HTTP شخص ثالث امکان پذیر است.

این گزارش نشان می‌دهد که حتی HTTPS هم کاری برای جلوگیری از قابلیت نظارت انجام نمی‌دهد:

ما خزیدن خودکار وب 65 کاربر شبیه سازی شده را در طول سه ماه انجام دادیم و متوجه شدیم که کوکی های منحصر به فرد آنقدر رایج هستند که استراق سمع می تواند به طور قابل اعتماد 90 درصد از وب کاربر را پیوند دهد. بازدید از صفحه به همان شناسه مستعار. (ما صفحاتی را حذف کردیم که اصلاً کوکی شناسه ای ندارند، اما اینها در اقلیت هستند.)

ما همچنین دریافتیم که روش پیوند کوکی بسیار قوی است و تحت شرایط مختلف موفق است (بخش 4.1). ما در نظر گرفتیم که چگونه تغییرات در تاریخ انقضای کوکی، اندازه سابقه کاربر (به عنوان مثال، تعداد صفحات بازدید شده) و انواع صفحات بازدید شده بر تغییرات استراق سمع کننده تأثیر می گذارد و تأثیر آن حداقل است. با این حال، شاید مهم‌تر از همه، ما متوجه شدیم که این روش نظارتی همچنان می‌تواند حدود 50 درصد از سابقه کاربر را به همان شناسه مستعار پیوند دهد، حتی با وجود تنها 25 درصد از تراکم فعلی ردیاب‌ها در وب. این بدان معناست که حتی اگر 75 درصد از سایت‌ها یا ردیاب‌ها استراتژی‌های کاهش (مانند استقرار HTTPS) را اتخاذ کنند، استراق سمع هنوز چیزهای زیادی یاد می‌گیرد.

تطبیق کوکی ها برای شناسایی کاربران مجرد

منبع: دانشگاه پرینستون، “کوکی هایی که به شما هدیه می دهند” (آوریل 2014)

در نمودار بالا، گزارش نشان می‌دهد که چگونه می‌توان از کوکی‌های شخص ثالث برای اتصال نقاط و شناسایی یک کاربر استفاده کرد، حتی زمانی که سه آدرس IP مختلف در بازدید از سایت‌های مختلف در زمان‌های مختلف وجود داشته باشد.

محققان سناریوهای “تهدید” را که از این نوع نظارت غیرفعال از شبکه در نظر گرفته اند، توصیف می کنند:

دشمن ممکن است یکی از دو هدف را داشته باشد: اول اینکه ممکن است دشمن بخواهد فرد خاصی را برای نظارت هدف قرار دهد. در این مورد، حریف یا هویت واقعی هدف را می‌داند یا یک کوکی شناسه واحد که متعلق به هدف است (چه در دامنه‌ای که معمولاً شخص اول است یا در یک دامنه ردیاب). دوم، ممکن است دشمن درگیر نظارت جمعی باشد. این حریف مایل است تا جایی که ممکن است، ردیابی وب را کشف کند و هویت های دنیای واقعی را با آن مرتبط کند.

محققان در پایان می‌گویند که امیدوارند این گزارش به «بحث سیاست در مورد نظارت و اکوسیستم ردیابی وب» کمک کند. آنها همچنین می‌گویند که امیدوارند یافته‌هایشان به ایجاد انگیزه‌ای برای «رفع مشکلاتی که با عدم استفاده از HTTPS در سایت‌های شخص اول شناسایی کرده‌ایم» کمک کند.

مدخلهای مرتبط

نظرات بیان شده در این مقاله نظرات نویسنده مهمان است و لزوماً MarTech نیست. نویسندگان کارکنان اینجا فهرست شده‌اند.

درباره نویسنده

گرگ استرلینگ یک ویرایشگر مشارکت کننده در Search Engine Land، عضو تیم برنامه نویسی رویدادهای SMX و معاون بازار بینش در Uberall است.