Webstedet genkender dig med udødelige cookies i HTML5

Ved at kombinere flere teknikker i blandt andet HTML5 er det muligt for websteder at lave en såkaldt 'evercookie', som gør det muligt at genkende en bestemt bruger, selvom normale cookies er slået fra.

Det bliver sværere at være anonym på nettet over for reklametjenester og websteder, selvom man slår almindelige privatlivsindstillinger til i sin browser.

Hackeren Samy Kamkar har afsløret en række teknikker til at lave en såkaldt 'evercookie', som det er næsten umuligt for brugeren at undgå.

En evercookie tjener samme formål som en almindelig cookie, nemlig at et websted kan genkende brugeren. Det kan blandt andet anvendes til at sørge for, at brugeren ikke får vist de samme reklamer flere gange i træk, eller til at gemme personlige indstillinger på webstedet.

Imidlertid er mange også bekymrede for, hvor meget information en reklametjeneste, der breder sig over mange tusinde websteder, kan indsamle ved hjælp af cookies. Derfor har browsere længe tilbudt muligheden for at blokere for cookies.

Men i modsætning til en cookie, der er en lille fil, som placeres i en bestemt mappe på brugerens pc, så er en evercookie en stribe af teknikker, som alle kan bruges til at give en unik identifikation af en bruger, så webstedet kan genkende brugeren.

Den mest udspekulerede teknik går ud på at tvinge brugerens browser til at gemme et PNG-billede i cachen, hvori der indlejres en unik kode ved hjælp af farvede pixel. Det billede kan kaldes frem igen ved hjælp af Canvas-elementet i HTML5, som gør det muligt at aflæse enkelte pixel.

Et andet trick går ud på at manipulere browserens historik, så den kan afsløre en unik kode for brugeren.

Hvis man anvender mulighederne for at skifte til den særlige sikre tilstand til beskyttelse af privatlivet, som findes i de fleste nye browsere, så er det ikke alle teknikkerne, der virker.

Samy Kamkar har testet med Safaris Private Browsing, og Version2 har også testet med Firefox 4's private browsing-tilstand. Almindelig manuel sletning af cache og cookies er imidlertid ikke nok.

Der er dog flere teknikker til evercookies under udvikling blandt andet ved hjælp af Silverlight og Java.

Samy Kamkar er angiveligt den samme, som skrev den berygtede Myspace-orm Samy, som automatisk gav ham tusindvis af venner ved hjælp af en sårbarhed i Myspace.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Kristensen

Hvorfor er HTML5 nævnt i overskriften af denne artikel?

Samy bruger ikke HTML5 til noget som helst fornuftigt.

Han bruger HTML5 SessionStorage, LocalStorage og GlobalStorage, men de er alle bundet op på cookies i browseren og arver derfor privatlivs-indstillingerne fra cookies.

Han bruger HTTP cache, som han læser med et HTML5 Canvas tag. men der er ingen grund til at bruge Canvas. Han kunne jo bare gemme noget andet i HTTP cachen, som kunne læses med mere konventionelle metoder, fx JavaScript.

Han bruger altså i virkeligheden de gode gamle HTTP cookies, HTTP cache og Flash cookies.

  • 0
  • 0
Log ind eller Opret konto for at kommentere