Поговорим о том, как Большой брат кормит нас печеньками. Да кормит до того сытно, что знает каждый наш поход в уборную. Сейчас мы просто и наглядно поговорим о “кукисах”, или просто о “куках”, которые тоннами загружаются в наш браузер и являются мощным инструментом слежки за активностью в интернете. В официальных заявлениях корпораций речь всегда идет о розовых пони, удобстве, персональной адаптации сайтов и прочем. Мы копнем чуть глубже и чуть менее радужно.
Начнем с положительных моментов. Куки позволяют нам пользоваться интернет-сервисами в том виде, в каком мы их знаем: с функцией авторизации и интерактива. Введя пароль от аккаунта, в дальнейшем мы пользуемся сервисом без повторной аутентификации, даже если перезапустим браузер. В интернет-магазинах куки обеспечивают корректную работу покупательской корзины, которая надолго запоминает все добавленные в нее позиции. Для таких целей, плюс-минус, и были придуманы куки в далеких девяностых. Удобство, новшество, восторг.
Не вдаваясь в справочную терминологию, описать работу этих “печенек” можно следующим образом. При загрузке веб-страницы, браузер получает от сайта специальные данные для загрузки в свое локальное хранилище, которое привязывается к определенному сайту, имеет конкретное имя и значение. Например, после корректного ввода пользовательского пароля, сервер говорит браузеру сохранить себе уникальный идентификатор (например, user=hashmashsplash123456789), после чего при каждой загрузке по просьбе сервера браузер сообщает это значение, по которому сайт идентифицирует пользователя. Это предотвращает ввод логина и пароля при загрузке каждой новой страницы.
Если вдруг значение “user” (как в примере) оказалось пустым, сервер понимает, что на него зашел новый пользователь, которому надо авторизоваться. Следовательно (в идеале), без авторизации нельзя получить доступ к каким-либо личным данным и персонализированным функциям сайта. Грубо говоря, этим удобством начинаются и заканчиваются плюсы кукисов. Что же плохого в этих безобидных фрагментах информации? Для начала необходимо развеять слухи о якобы самоисполняемых вредоносных куках.
Куки это фрагменты информации, которые локально хранятся браузером на нашем устройстве. Это не полноценные скрипты и исполняемые файлы. Скорее, это нечто вроде бейджиков (нагрудных знаков с именами). Помимо них у нас есть лицо, одежда, походка, голос и привычки, по которым нас легко узнать, но табличка с именем сильно упрощает эту задачу.
Согласитесь, далеко не всегда мы хотим, чтобы нас знали по имени. Однако существует риск кросс-доменных куков, когда один сайт запрашивает у нашего браузера куки другого сайта. Такая атака позволяет злоумышленнику узнать персональные данные пользователя, вплоть до того какие сайты и какие страницы он открывал, со всеми отсюда вытекающими. Современные браузеры начали блокировать такие вольности неэтичных сайтов, но это не является панацеей по предотвращению слежки. Важную роль в оставшейся дыре безопасности играет встраиваемая реклама. А реклама это двигатель продаж и чума нашего времени.
Рекламный баннер, если не принадлежит полностью владельцу сайта, является встраиваемым продуктом сторонних площадок. Благодаря чему, заходя на любой сайт, браузер загружает куки всех доменов, встроенных в страницу. В первую очередь, это целевой сайт, а следом целый набор адресов, с которых подгружается реклама, счетчики и прочие внешние ссылки. С позиции браузера это воспринимается как загрузка нескольких страниц, у каждой из которых есть своя папка с кукисами. На практике оказывается, что встроенный баннер загружает пользователю информацию, не связанную напрямую с открываемым сайтом, а мертвый в большей степени для нас “коммерческий” груз. Самым безобидным может быть идентификатор, который в будущем будет сообщать рекламному агентству о просмотренных нами баннерах, если вдруг у кого-то есть задача не показывать одно и то же дважды…
На деле все еще хуже. Никто не брезгует показывать нам одну и ту же рекламу. Более того, современная реклама является таргетированной, т.е. теоретически рассчитанной именно на нас. А как корпорации узнают, что нам нравится? Это происходит благодаря сбору информации… Каждый встроенный паразит, обещающий прибыль владельцам сайтов, фактически способен на отслеживание пользователей в сети. Сейчас мы открыли сайт с котиками, позже посмотрели видео про взрыв петард, потом почитали оппозиционные СМИ и так далее. Если на всех посещенных сайтах был хотя бы один трекер конторы, она в состоянии разложить наш веб-серфинг по секундам.
Отдельной фатальной опасностью являются поисковые системы. Они являются практически неотвратимым злом нынешнего интернета. Поисковые системы помнят наши запросы и переходы по ссылкам, что делает их наилучшими шпионами. А добавить сюда соответствующий почтовый сервис, так все данные априори перестают быть безличными, связываясь с личностью владельца аккаунта. Больше всех в этом вопросе преуспели ребята из Google. У большой части пользователей интернета есть почта на их сервере, некоторые аккаунты были заведены принудительно из-за использования Android-смартфонов, но сам факт это никак не исключает, даже наоборот.
Всюду заявляется об обезличенном использовании куков, т.е. наш браузер, говорится, выступает в роли некоторого пользователя, самостоятельно хранящего информацию о себе, исходя из которой интернет-гиганты предлагают нам наиболее интересные предложения потратить кровные накопления или просто слить личную информацию о себе для участия в очередном флеш-мобе. Мы, естественно, таким сказкам не верим и вам не советуем. О дырах в безопасности корпораций обычно узнают наглядно, по появившемся в сети сливам. Хочется ли нам проверять этичность куков на своей личности? Нет, спасибо.
Мы не можем отрицать, что некоторая часть куков является безопасными. Такие “печеньки” теоретически не хранят в себе личной информации о нас и используются их разработчиками для полноценной работы сайтов. Также имеет место быть большая угроза перехвата незашифрованного трафика, в котором могут содержаться приватные куки авторизации и что-нибудь подобное. Этот вопрос встал ребром достаточно давно, поэтому сегодня подавляющее большинство уважающих себя проектов имеют сайты с защищенным соединением (https вместо http), что сняло с главной повестки проблему перехвата трафика между нами и веб-сервером. Несмотря на перечисленные глобальные меры безопасности, грань между опасными и безопасными куками настолько тонкая, что почти не существует. При полной анонимизации понятие допустимых куков вовсе стремится к нулю, потому что даже небольшой фрагмент информации об интернет-активности является компрометирующим.
К сожалению, сесть на жесткую диету, т.е полностью отказаться от “печенек”, в настоящее время практически невозможно. Такая роскошь доступна только очень дисциплинированным и грамотным людям, имеющим твердую позицию по отношению к глобальной сети.
0 коммент.: