Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Supercookie

10-03-2017, 13:55 door rabeb, 12 reacties
Dag,
Wie kan me in normaal Nederlands uitleggen wat een "supercookie" is en wat het verschil is met een normale cookie?
Bedankt alvast
Reacties (12)
10-03-2017, 15:20 door Anoniem
Een cookie is een stukje code dat een website achterlaat op de computer van een gebruiker om informatie over het gebruik van deze website op te slaan. Hierbij kan het bijvoorbeeld gaan om sessie-informatie, voorkeuren, de inhoud van een winkelwagentje of de gelezen onderwerpen op een forum. Cookies zijn geen software, maar kunnen vormen een risico wanneer een hacker deze bestanden in handen krijgt. Hij of zij kan hiermee namelijk bij websites inloggen en zich voordoen als het slachtoffer.

Het verschil tussen supercookies en gewone cookies is dat supercookies meer informatie die van belang voor adverteerders is opslaan en dat je supercookies niet zomaar kunt verwijderen. Supercookies zijn in basis hetzelfde, maar kunnen zichzelf herstellen nadat de gebruiker de internetcache, waarin de cookies worden opgeslagen, geleegd heeft. Technisch gezien zijn het geen cookies, omdat ze niet uit tekst, maar uit Flash- en HTML5-code zijn opgebouwd. Browsers bieden (nog) niet de mogelijkheid om de cachebestanden van Flash en HTML5 te legen.
Bron: Computerworld. (even googelen dan weet je alles.)
10-03-2017, 16:01 door Anoniem
Daarom is het een goeie zaak dat browsers Flashplayer e.d. verwijderen, maar daarmee zijn de problemen rond HTML-5 security nog niet allemaal opgelost. Tracking, fingerprinting, super cookies, webbeacons, je browser is eigenlijk een grote data slurper volg-client.

Maar ook je provider, je hosting dienst, je cloud transporteur, je proxy wellicht en heel zeker je eigen overheid gluren mee over je schouder, als jij denkt dat je ekker aan het Internetten bent. Geloof me maar, "vluchten kan niet meer" en verder de gehele gezongen inhoud van die schlager. Waar = waar = waar = 100% waar. Jij bent het product en getrackt zullen we worden, of dat nu leuk vinden of niet.

Lees nog eens hoe het begon in deze link hier van 2011: https://www.security.nl/posting/33238/Supercookies+lastig+te+verwijderen

Hoe veel zijn we opgeschoten sindsdien? Nada, zero, niets.

Ga hier maar eens mee scannen op een site waar je zulke activiteiten vermoedt: https://webcookies.org/
10-03-2017, 16:19 door Anoniem
Mensen moeten ook voorgelicht worden om de cookie instellingen te veranderen in niets-accepteren-van-derde-partijen, Flashblock te gebruiken of Flash deinstalleren en een goede addblocker en of pi-hole te installeren.
Tor-browser is ook een werkbare optie die meer aandacht vedient.
Het blijft een wapenwedloop tussen de volgers-trackers en de mensen die kunnen beseffen dat gepersonaliseerde reclame en sleepnetten niet in het voordeel van het vrije individu zijn.

Firefox gebruiker? Kijk eens of de add-on Better Privacy lso cookies voor je kan vernielen.
10-03-2017, 23:58 door Chicago2013
http://www.macromedia.com/support/documentation/nl/flashplayer/help/settings_manager07.html

met dit kun je ook flash cookies verwijderen toch?
of deze:

http://www.flashcookiecleaner.com/
11-03-2017, 07:48 door Erik van Straten - Bijgewerkt: 11-03-2017, 08:13
Als je googled (en de publicaties leest :-) zul je zien dat de term "supercookie" in meerdere contexts wordt gebruikt, o.a.:

1) Cookies kunnen ook gelden voor subdomains. Uit [1]:
For example, if the value of the Domain attribute is "example.com", the user agent will include the cookie in the Cookie header when making HTTP requests to example.com, www.example.com, and www.corp.example.com.
Wikipedia beschrijft de risico's in [2] en [3]. Het probleem hier is de grens tussen namen die DNS registrars uitgeven en "eigen" subdomains (zoals www., portal. en images.). Als een browser een cookie voor .nl toe zou staan, zou dat cookie naar elke .nl site worden meegestuurd. In het geval van .co.uk moeten browsers dus weten dat "co" niet de naam is van een organisatie, maar onderdeel is van het door registrars beheerde deel.

2) Sommige Internet Service Providers (waaronder Verizon [4]) injecteerden (injecteren?) tracking cookies in http verkeer van browsers (van hun klanten) naar webservers van derden. Ook als je alle cookies in jouw browser weggooide, was je nog feilloos te volgen. Er zijn overigens ook ISP's die "reclamebanners" in websites injecteren (al dan niet zichtbaar). Ook deze kunnen natuurlijk voor uitgebreide tracking worden misbruikt.
Terzijde, dit zijn prima voorbeelden van waarom we moeten stoppen met het gebruik van http (d.w.z. https moeten gebruiken), ook bij websites waar je niet op inlogt of anderszins privacygevoelige informatie mee uitwisselt.
Aanvulling: https voorkomt het tweede scenario (ISP injecteert gegevens in data van webserver naar webbrowser), maar ik sluit niet uit dat ISP's (of public WiFi eigenaren) tijdens de (plain text) https initiatiefase, of op TCP niveau, identificerende klantgegevens kunnen injecteren in netwerkverkeer van browser naar server. Los daarvan kunnen zij adverteerders natuurlijk ook op andere wijze informeren over welke websites hun klanten bezoeken. Linksom of rechtsom zul je jouw ISP moeten vertrouwen...

3) De door Samy Kamkar beschreven "evercookie" [5], ook bekend als LSO (Locally Shared Object), wordt ook wel een supercookie genoemd.

[1] https://tools.ietf.org/html/rfc6265#section-4.1.2.3
[2] https://en.wikipedia.org/wiki/HTTP_cookie#Supercookie
[3] https://en.wikipedia.org/wiki/Public_Suffix_List
[4] http://www.makeuseof.com/tag/what-are-supercookies-and-why-are-they-dangerous/
[5] https://www.security.nl/posting/29708/EverCookie,+cookie+nachtmerrie_
11-03-2017, 08:13 door Anoniem
Door rabeb: Dag,
Wie kan me in normaal Nederlands uitleggen wat een "supercookie" is en wat het verschil is met een normale cookie?
Bedankt alvast
Browsers "praten" met webservers via het HTTP-protocol (HTTPS is de versleutelde variant daarvan, maar dat maakt voor dit onderwerp niet uit). HTTP is oorspronkelijk ontworpen voor relatief simpele pagina's die niet voortdurend van inhoud veranderen (deze pagina op security.nl verandert van inhoud zodra een commentaar wordt geplaatst) en waarvoor niemand aan hoeft te loggen. Het is ontworpen voor documentatie, en daarom is de oorspronkelijke opzetopzet simpelweg dat een browser om een pagina (of een onderdeel van een pagina zoals een afbeelding) vraagt en de server die teruggeeft, zonder dat de server zich druk maakt over de vraag welke van die opvragingen een verband met welke andere opvragingen hebben. Dat was domweg nergens voor nodig. Daarom wordt HTTP een "stateless protocol" genoemd, het houdt geen sessies en geen status van die sessies bij.

Maar al vrij snel werd dat een lastige beperking. Als je een webapplicatie maakt, bijvoorbeeld voor internetbankieren, dan moet een klant aanloggen en moet de server kunnen herkennen welke opvragingen en andere interacties bij welke klant horen zonder dat die telkens opnieuw moet aanloggen. Als je navigeert door de pagina's van zo'n webapplicatie dan krijg je op dezelfde pagina, zeg een transactieoverzicht, een andere inhoud te zien als je eerst een ander rekeningnummer of een andere periode had geselecteerd. De reactie van de server is afhankelijk van wat er eerder is gedaan, en dus heb je gebruikerssessies nodig waarvan de staat wordt bijgehouden.

Daarvoor zijn HTTP-cookies, de "gewone" cookies, toegevoegd aan het HTTP-protocol. Het zijn kleine hoeveelheden data die de server aan de browser doorgeeft en die de browser bij elke interactie weer teruggeeft. Een bij aanloggen gegenereerd brokje willekeurige data kan zo gebruikt worden om de gebruikerssessie te identificeren, de server herkent bij elke interactie bij welke sessie die hoort, en de server kan zelf de staat van die sessie bijhouden. Maar een cookie kan bijvoorbeeld ook gebruikt worden om bij een uitklapbaar menu (niet meer gangbaar, maar in de jaren '90 hadden websites dat vaak) bij te houden welke menukeuzes opengeklapt zijn en welke niet.

Dergelijke cookies hoeven alleen tijdens een sessie te bestaan, en niet langer bewaard te worden dan die duurt. Maar ze werden ook gebruikt om voorkeuren van bezoekers op te slaan, en dan wil je dat ze volgende week ook nog beschikbaar zijn. Daarom kunnen cookies (naar keuze van de website) ook op de harde schijf van de bezoeker worden opgeslagen.

Natuurlijk doken er lieden op die dat een handig hulpmiddel vinden om het doen en laten van bezoekers te volgen, werd het een privacyprobleem en werd het nodig om cookies in de gaten te kunnen houden, desgewenst te blokkeren of automatisch weer te verwijderen.

Omdat adverteerders en andere dataverzamelaars de gebruiker daarin niet willen respecteren boorden ze andere mogelijkheden aan. Plugins zoals Flash hebben, naast het cookiemechanisme van de browser, eigen mogelijkheden om data op de schijf van de bezoeker op te slaan. Omdat dat geen gewone HTTP-cookies zijn, omdat ze niet zo via de gewone browser-instellingen in te zien en te verwijderen zijn en omdat ze bepaalde restricties die browsers op het kunnen benaderen van cookies door scripts in webpagina's niet hadden worden dat soort alternatieven voor HTTP-cookies "supercookies" genoemd.

Met HTML5 is een uitgebreidere vorm van opslag op de computer van de gebruiker geïntroduceerd, die "local storage" wordt genoemd. Die staat meer data toe dan in een cookie past, en een belangrijk verschil is dat die niet automatisch met de server wordt gedeeld, hoewel dat via JavaScript wel degelijk kan. Het is bedoeld om bijvoorbeeld webapplicaties offline te kunnen gebruiken. Als je een online tekstverwerker gebruikt bijvoorbeeld kan het erg nuttig zijn om als de internetverbinding uitvalt een document toch te kunnen bewerken en bewaren op je eigen computer. Wat het gemeen heeft met cookies dat er ook een onderscheid is tussen vluchtige opslag (session storage) en permanente (offline storage). Ongetwijfeld zijn adverteerders en dergelijke zeer geïnteresseerd in zo'n mechanisme, maar het is ontworpen in een tijd dat allang duidelijk was dat er privacyproblemen zijn en de specificatie bevat hoofdstukken over privacy en security. Ik heb me er niet genoeg in verdiept om te weten hoe goed die beschermingen in de praktijk zijn.
11-03-2017, 12:21 door Anoniem
In Firefox kunnen door het installeren van de add-ons BetterPrivacy, Self-Destructing Cookies en Foundstone HTM5 Local Storage Explorer deze LSO cookies opgeruimd worden. Met andere browsers heb ik helaas weinig ervaring.
11-03-2017, 12:50 door Anoniem
Door Anoniem: In Firefox kunnen door het installeren van de add-ons BetterPrivacy, Self-Destructing Cookies en Foundstone HTM5 Local Storage Explorer deze LSO cookies opgeruimd worden. Met andere browsers heb ik helaas weinig ervaring.

De 'Grap' is alleen dat je met die combinatie weer zo'n uniek profiel aan het opbouwen bent dat je toch weer te tracken valt.
De markt beweegt zich naar de beste niet verwijderbare supersuperdemegasupercookie.

Dat is het herkennen van jouw software en hardware profiel met extra geïmplementeerde javascript code.
Ja dan moet je javascript toestaan en dat doen de meeste mensen ook.
Test het hier maar.

https://panopticlick.eff.org/

Met en zonder addons en toegestane javascripts.
Kijk ook welke addon het hoogst unieke profiel oplevert.
Helaas betekent dat nieuwe addons, relatief onbekende addons het nadeel hebben van het stimuleren van een uniek profiel, wat pas wat wordt verholpen wordt als het een bekende addon wordt en heel veel mensen het gaan gebruiken.
Dat gaat soms niet gebeuren en dan zou een browsermaker het standaard mee moeten geven.

Maar ook de meeste gebruikers hebben geen zin in extra gedoe.
De addons die je noemt zijn bewerkelijk en kunnen voor onbegrijpelijke problemen zorgen bij consumenten die niet zo handig zijn met computers.
Dat is de grootste groep en die laat zich dus blijvend helemaal binnenstebuiten tracken.
11-03-2017, 14:07 door Anoniem
Supercookies zijn cookies die je niet gemakkelijk uit je browser verwijdert omdat ze van een ander systeem gebruik maken. Ze kunnen alle functies hebben die gewone cookies ook hebben, zoals bijvoorbeeld authenticatie, jouw volgen op internet ("tracking"), of advertenties personaliseren en aanbieden aan de hand van je surfgedrag.
11-03-2017, 19:09 door Anoniem
Ook best handig:

CCleaner (bij cookies gaan kijken)

https://haveibeenpwned.com/

Ghostery (werkt niet in de nieuwe versie van FF dacht ik)

FF addons: https://addons.mozilla.org/nl/firefox/search/?q=block+cookies&appver=51.0&platform=windows

FFox bij de instellingen (privacy) zelf cookies van websites accepteren aan- of uitvinken ...

Cookies van derden accepteren: NOOIT

Er zijn tal van mogelijkheden ...
13-03-2017, 22:04 door Anoniem
Nog iets over Supercookies
https://slashdot.org/index2.pl?fhfilter=Supercookies
En sinds 2010 hebben ze zelfs geen Supercookies meer nodig, het kan toch allemaal perfect ‘legaal’
https://yro.slashdot.org/story/10/04/07/1546221/Google-Gives-the-US-Government-access-To-Gmail
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.