Hacker maakt onverwijderbare zombiecookie
Een Amerikaanse hacker heeft een manier gevonden om cookies op een computer te zetten die niet te verwijderen zijn. Volgens de hacker is het slechts bedoeld als waarschuwing.
Een Amerikaanse hacker heeft een manier gevonden om cookies op een computer te zetten die niet te verwijderen zijn. Volgens de hacker is het slechts bedoeld als waarschuwing.
Hacker maakt onverwijderbare zombiecookie
Een Amerikaanse hacker heeft een manier gevonden om cookies op een computer te zetten die niet te verwijderen zijn. Volgens de hacker is het slechts bedoeld als waarschuwing.
De evercookies, zoals hacker Samy Kamkar zijn proof of concept gedoopt heeft, slaan zichzelf bijvoorbeeld op in de geschiedenis van de browser, in RGB-waarden van PNG-afbeeldingen, in Flash of in gewone cookies. Het verwijderen van de cookies is niet mogelijk. Ze reproduceren zichzelf namelijk zodra een versie verwijderd wordt. De evercookies gebruiken daarvoor data van één van de andere opslaglocaties.
Overtreffende trap
Kamkar vertelt op zijn website wat precies het punt van zijn idee is: “Een evercookie is ontworpen als hardnekkig te verwijderen cookie. Het maakt zijn naam dus waar. Door gebruik te maken van zeven verschillende opslaglocaties waar de gebruiker geen weet van heeft."
"Zie het maar als een cookie dat je maar niet verwijderd krijgt.” Kamkar erkent wel dat zijn vinding nog niet perfect is: wie Safari gebruikt en Private Browsing aan heeft staan is niet vatbaar voor de cookies.
Eén van de manieren die de hacker gebruikt om zijn cookie goed wortel te laten schieten, is om het op te slaan in de local shared objects van Flash. Dit wordt ook wel een Flash-cookie genoemd. Grote bedrijven als Walt Disney zijn al aangeklaagd voor het gebruik van deze hardnekkige cookies. Volgens Kamkar is zijn versie daar slechts een overtreffende trap van.
Silverlight
De Amerikaan gebruikt ook de browsergeschiedenis als opslagplek voor zijn cookie. Die wordt dan als internetadres in de geschiedenis van de webbrowser geplaatst. Met behulp van een CSS-hack kan hij die cookie dan weer uitlezen. In de volgende versie van zijn evercookie wil Kamkar de gegevens ook opslaan in andere elementen, zoals Silverlight, http-etags en window.name-caching.
Myspace-worm
Kamkar werd in 2007 overigens veroordeeld tot drie jaar voorwaardelijke celstraf, negentig dagen werkstraf en een boete. Dit vanwege een Myspace-worm die hij heeft gemaakt. De worm Samy verspreidde zich binnen 20 uur over één miljoen profielen.
Met de evercookie zegt Kamkar overigens alleen te willen waarschuwen voor de mogelijkheden. Hij wil bewustzijn kweken. Eerder dit jaar presenteerde hij ook al een website die met behulp van een MAC-adres de locatie van een computer kon onthullen.
Het is jammer dat het voor een computer best lastig is om het verschil tussen een cookie en een tracking cookie te zien.
Toch zullen dan veel mensen toch functionaliteit willen gebruiken als cookies. Anders is iedere keer al je browserhistory weg. Dus alleen als je die functionaliteit niet meer hebt kun je wellicht hier vanaf komen (tenzij de cookie zich ergens in je documenten map weet je nestelen).
Weet je zeker dat we het over hetzelfde hebben? Volgens mij ondersteunt de iPod Touch prima *Javascript*, maar geen *Java*. Dat zijn twee verschillende dingen.
Javascript aan of uit zetten op de iPod TouchIk heb begrepen dat veel sites hun pagina's aanpassen voor mobiele apparaten. Het zou dus op zich best kunnen dat daarbij Javascript wel gemeden wordt.
Ik lees al tijden Webwereld op de ipod-touch. Geen probleem.
Alleen de Volkskrant heeft af en toe enquêtes die niet lijken te werken. Verder merk ik niets van het gebrek aan java.
Ik ben vandaag nog even aan het zoeken geweest. Als ik W3Schools mag geloven dan zijn er maar heel weinig gebruikers die zover gaan dat ze Javascript helemaal uitschakelen.
Ook ben ik een beetje aan het testen geweest met NoScript en Javascript helemaal uit, maar dat leverde toch heel apart en schijnbaar onvoorspelbaar gedrag op in de browse ervaring.
NoScript raadt het zelf ook niet aan voor zover ik kan vinden. Wat natuurlijk ook niet vreemd is, want als je Javascript uitschakelt dan heb je NoScript ook eigenlijk niet meer nodig.
Ik ben daardoor echter wel benieuwd geworden hoe het zit met Webwereld lezers. Hoe denken die over Javascript en het helemaal uitschakelen daarvan?
Zo heel nu en dan op een promotie site voor een film of game schakel ik Flash in. Voor Youtube heb ik ook een uitzondering gemaakt, maar verder... Nee, ik mis het ook niet echt.
Maar het zijn juist die uitzonderingen die me ertoe brengen om het toch nog even geïnstalleerd te laten staan.
Ik heb flash nog niet echt gemist sinds ik het van al mijn zooi verwijderd heb.
Oeps, ik bedoelde hier site. Zo wordt het wel heel vaak locatie. :)
Met de 7 locaties bedoelde ik: De flashcookie cache, de normale cookie cache, de browsergeschiedenis, codes in png bestanden, webbugs, etags ed.
Als je die tussen twee bezoeken aan een trackersite weet schoon te maken dan zijn ze je kwijt. Vergeet je er één, dan wordt de rest opnieuw aangemaakt op basis van die ene vergeten locatie.
Dat bedoelen ze waarschijnlijk met het 'zichzelf reproduceren'.
Zo erg is het niet. Als je weet waar alle instances kan je die - terwijl je browser uit staat - gewoon verwijderen. Dan komen ze ook niet meer terug. Alleen als je via de browser probeert te verwijderen kan je ze niet allemaal vinden en kunnen de niet verwijderde versies zorgen dat de andere versies weer terug komen.
Zo leest het wel maar in de praktijk zal het zo niet werken denk ik.
Wat er volgens mij gebeurt is dat deze methode zich baseert op het idee dat je niet alle 7 locaties schoon kan houden. Telkens als je dan een locatie bezoekt waar ze je op die manier tracken, dan worden alle locaties gecontroleerd op informatie. Als er iets gevonden wordt, dan worden de overige locaties weer bijgewerkt.
Als het je dus lukt om tussen twee bezoeken alle locaties op te schonen, dan is de tracker je kwijt tot het opnieuw een meervoudige cookie weet te plaatsen.
Als het ding echt zichzelf zou weten te reproduceren dan zou het betekenen dat een cookie uitvoerbare code op je systeem weet te smokkelen. En dat geloof ik eerlijk gezegd niet.
Ja, maar dat snap ik dan ook niet helemaal. Als je weet waar de cookies staan dan heb je er toch nog niets aan? Ik lees dat het ding zichzelf reproduceert.
Lijkt me een handige addon, al vraag ik me af of het niet praktischer is om bij de firefox privacy opties in te stellen dat 'ie de cache leegt na gebruik.
Veel websites werken zonder Javascript ronduit slecht. Ik zou daarom maar weinig mensen aanraden om het uit te zetten. Dan kan je nog beter NoScript gebruiken. Maar jij mag dat gerust als slecht advies zien...
Als jij Javascript uit hebt staan, heel mooi voor je. Dan zou ik Flashblock inderdaad niet gebruiken. Ik heb NoScript niet getest met Javascript uit, omdat me dat dubbel op lijkt. Maar misschien dat je dan wel Flash en Silverlight kunt blocken? Was daar je 'reactie' om te doen?
Beste jongen voor flashblock heb je javasript nodig, dan adviser je dus mensen javascript aan te zetten en die hebben al zaken die ze willen voorkomen. Ronduit slecht advies dus..
Je lange tenen zijn inmiddels legendarisch hier ;)
Totdat je er wel weet van hebt en dan kan je de 'evercookie' ook gewoon verwijderen. Ik wist een tijd geleden niet van het bestaan van Flashcookies, nu wordt die directory standaard geleegd zodra ik m'n browser opstart.
Wil je alsjeblieft stoppen met dat constante gefit? Ik weet niet waarom je in zo'n slecht humeur bent, maar ga het ergens anders afreageren wil je?
Ik probeer een constructieve bijdrage te leveren aan het verminderen van dit soort problemen. Ik heb niet zo'n zin om daarbij constant door jou aangevallen te worden.
Voor IE8 hoef ik niet met een plugin te komen tegen Flash, want dat zit er al in naar het schijnt. En verder zou ik niet weten hoe ik de rest moet blocken. Ik kan alleen melden wat ik wel weet.
En dat NoScript ook Flash ed kan blocken weet ik, maar niet iedereen wil NoScript draaien omdat het best een lastige tool is. Flashblock is dan een prima tussenoplossing. Het blokkeerd Flash en Silverlight en is verder niet al te moeilijk.
Maar misschien heb jij iets nuttigs te melden over het blocken van de vectoren die gemeld worden in het artikel voor bijvoorbeeld IE. Kan je dat niet beter melden, in plaats van te hakken om mijn vemoede gebrek aan kennis?
En wat heb je nidig om flashblock te kunnen draaien... Ja even zoeken voordat een erg dom advies geeft..
Dan zet je noscript aan, waarmee je flashblock ook stopt maar dat terzijde.
Advies geven is linke soep als je niet weet waar je het over hebt..
Oke, bedankt. Dat wist ik niet.
Ik heb dus even een addon gezocht die dat voor me doet, genaamd Eraser.
"Most portable, faster and very handy Private Data Eraser.
By just a click on a button in your toolbar or context menu, You can clear your browser's --
Cookies
Browsing History
Saved form info
Saved passwords
Download History
Cache
Search bar
Flash Local Shared Objects (Flash cookies)"
[Link]
M'n addons nu zijn:
Adblock Plus.
NoScript.
Flashblock.
BetterPrivacy.
Ghostery.
Eraser.
Ik kon het ook via CCleaner maar het is makkelijker om het vanuit m'n browser te doen. =)
Dat is waar, dat is voor gebruiker tracking (voor mij) een volledig nieuwe techniek. En omdat het gebruik maakt van juist een heel nuttige functie van het web, zou ik zo ook niet weten *of en *wat* je er tegen zou moeten doen.
Ik denk dat vooral bedrijven zich eens achter de oren moeten krabben of ze de oorlog naar dit level willen trekken.
Het is inderdaad een lelijke wapenwedloop aan het worden.
Voor Flash en Silverlight zou ik oplossingen als Flashblock aanraden in dit geval. Wat er niet op komt hoeft er ook niet af. En ik heb de indruk dat ik prima zonder die Flash meuk kan.
Voor webbugs heb je dan bijvoorbeeld Ghostery.
En voor de cookies zelf heb je bijvoorbeeld CookieSafe Lite.
Java scripts die allerlij andere dingen zetten zijn te blocken met NoScript. Maar pas wel op, dit vraagt veel kennis en geduld.
En mocht deze manier van tracken onverhoopt toch populair worden, dan komen er ongetwijfeld tools voor op de markt om het te blokkeren.
ik zie het nog gebeuren dat we allemaal in een vmware achtige omgeven draaien voor we pc's gaan gebruiken.. na gebruik verwijderen en de volgende keer verse omgeving gebruiken..
@Kameo
De laatste versie maakt gebruik van hoe de cache van browsers functioneert, via Etags. Als je je browsercache niet leegmaakt na elke sessie, verdwijnt de cookie niet.
Dus alleen BetterPrivacy gebruiken is niet genoeg.
Het is zelfs cross-browser.
Als de Flash-cookie in een browser op het systeem aangemaakt is, laten we zeggen in je Firefox, kan die in de andere browser gelezen worden, bijvoorbeeld in Internet Explorer. Dus een strategie om een merk browser op je systeem alleen voor safe-browsing te gebruiken, wordt hiermee problematisch.
Nou, als ik het zo lees is hardnekkig een understatement van die hacker. Als die cookies iedere keer als je ze verwijdert automatisch terugkomen dan lijkt het mij dat je gewoon moet formatteren...
Ik ben benieuwd hoe m'n BetterPrivacy addon ermee overweg gaat. Tot nu toe heeft ie alle LSO cookies verwijderd en CSS scripting is verboden door m'n NoScript addon.
We zullen zien. =)
is wat anders dan
Dit lijken mij juist de cookie's die ik zou willen verwijderen, een beetje tracking vind ik persoonlijk niet erg, maar dan wel op een normale manier en niet gebruikertje pesten.
Het lijkt me dat een browser toch een aardige open deur op een systeem is. Deze meneer maakt van vele normale toegangen tot het OS gebruik om een hardnekkig cookie te plaatsen.
Hoe gaat het eigenlijk met andere browsers die alles wissen na programmaeinde? Safari kan er blijkbaar goed mee omgaan.
"Een waarschuwing" lijkt mij een nogal domme typering van een geniale vondst om definitief elke computergebruiker te kunnen volgen om te kunnen vervolgen. Meneer is gewoonweg nog in het begin van een sadistische persoonlijkheidsvernauwing. Degenen die al verder zijn (de supermachten, mafia, auteursrechteninquisitie, stalkers) zullen zijn werk graag voortzetten.
Reageer
Preview