NA DVD
Pomocí programu Maxa Cookie Manager Pro se otravných cookies rychle zbavíte. Tento nástroj najdete pod indexem Cookies.
Mazání "nezničitelných" cookies
Na počítačích se začíná zabydlovat nová generace "supercookies". Poradíme vám, jak se těchto zákeřných špionů zbavit.
MARKUS MANDAU
Malé, šikovné a často i užitečné datové "sušenky", kterými webové servery krmí naše prohlížeče, mohou mít poněkud hořkou pachuť. Původním účelem cookies bylo usnadnění surfování po internetu – cookies "pomáhaly s košíkem" při nákupech v internetových obchodech nebo zjednodušovaly přihlašování do diskusních fór. Poté se ale dostaly do hledáčku lovců dat a z nenápadného pomocníka se rychle stal malý udavač. Jedinou útěchou je to, že na rozdíl od klasického malwaru jsou obyčejné cookies z hlediska ohrožení počítače skutečně neškodné.
Už méně příjemné je ale to, že webový server umístí cookies na několika různých místech a uloží si do nich informace, které o vás chce znát. Na čím více místech si tyto informace uloží, tím větší bude pravděpodobnost, že si dat nikdo nevšimne a nebudou smazána. Na základě tohoto triku vytvořil hacker Samy Kankare tzv.evercookie, která se skládá z informací uložených zároveň na třinácti různých místech v systému (viz tabulka níže). Takovouto cookie už není možné smazat přímo z prohlížeče, ale je nutné použít speciální nástroj. Uživatel se pak informací uložených v cookie zbaví teprve až po smazání všech třinácti cookies. Ruční mazání je v takovýchto případech jen zdlouhavou a nepříjemnou prací, a proto vám nabídneme elegantnější řešení. Na Chip DVD najdete plnou verzi nástroje MAXA Cookie Manager Pro, který si s těmito čmuchaly rychle a snadno poradí. Tento praktický pomocník navíc umí i blokovat klasické cookies.
HTTP-Cookies: Zneužity pro sledování chování při surfování
Klasické cookies mají v současnosti dvě podoby – například u Internet Exploreru jde o malý textový soubor, u Opery jde o záznam v databázi. Je také důležité poznamenat, že ke cookies má přístup pouze surfař (uživatel) a server, který cookies vytvořil. Surfař také může prohlížeč nastavit tak, aby cookies nepřijímal. Na některých serverech tím ale ztratíte navigačního pomocníka a některé servery vám bez cookies zcela odmítnou přístup. Cookies dorazí na počítač uživatele v http hlavičce a mohou být uloženy na disk počítače pomocí javascriptu.
Princip práce s cookies si můžeme ukázat například na serveru Amazonu. Při první návštěvě tohoto obchodu se vám do počítače (pokud máte tuto možnost povolenu) automaticky uloží cookie. Pokud Amazon později surfař znovu navštíví, prohlížeč automaticky odešle soubor cookie na server, který jej vyhodnotí a pošle zpět aktualizovanou cookie – často se mění jen "hodnota" jednotlivých položek. Po několika návštěvách může Amazon jen pomocí informací z cookies vytvořit přesný profil uživatele, a to i v případě, že surfař není na Amazonu zaregistrován.
Společnosti jako DoubleClick (kterou koupil Google), zabývající se reklamními službami, používají tento princip pro sledování surfování pomocí tracking cookies. Surfař tyto špiony obvykle přijímá prostřednictvím reklamních bannerů, které pocházejí z externího serveru. Protože na velké množství webových stránek je možné umístit bannerové reklamy, vzniká tak hustá síť zjišťující informace o surfovacích návycích uživatelů. Například Clicksor, menší konkurent sítě DoubleClick, inzeruje, že každý měsíc získává cookies ze 100 000 webových stránek!
Je sice možné nakonfigurovat prohlížeč tak, aby nepovoloval ukládání cookies třetích stran (čímž zakážete například ukládání cookies zmiňovaných bannerů), ale ukládání cookies navštíveného serveru nezabráníte.
Zajímavou ochranou může být například úprava souboru "hosts", který dokáže fungovat i jako blacklist. Tento soubor může uživatel použít k určení, pod jakou IP adresou má prohlížeč hledat určitý webový server. Trik spočívá v tom, že se známým "sledovacím" serverům přiřadí IP adresa počítače. A nemusíte nic vymýšlet sami – připravený (a neustále aktualizovaný) soubor s potřebnými záznamy najdete například na adrese http://mvps.org/winhelp2002/hosts.htm. Pokud sami soubor "hosts" nepoužíváte, stačí staženým souborem přepsat ten stávající v adresáři "Windows\System32\drivers\etc". Nezapomeňte, že ve Windows Vista a Windows 7 lze provést tuto operaci pouze s oprávněními správce. Tento trik má ale i další příjemný efekt – podstatně se zrychlí surfování, protože prohlížeč nemusí čekat na webové servery distribuující cookies.
Flash cookies: Mazání pro pokročilé uživatele
Ne všechny "tracking cookies" lze zastavit tak snadno. Mnoho společností z odvětví "sledování" přešlo od HTTP cookies na jejich Flash variantu. Flash cookies nebo Local Shared Objects (LSO) mohou být uloženy webovým serverem, aniž by o tom byl uživatel informován. Stačí si jen nainstalovat do svého systému Flash Player.
Pokud chcete odstranit všechny soubory Flash cookies, můžete buď v Průzkumníku vyprázdnit složku "SharedObjects" (viz tabulka níže), nebo (pokud máte Flash Player verze vyšší než 10.1) obsah odstranit přes internet.
Stačí navštívit stránky společnosti Adobe pro nastavení parametrů Flash (viz intertabulka) a zde můžete také nastavit chování "Flash cookies". Například v sekci "Website Storage Settings panel" můžete kliknutím na tlačítko "Odstranit vše" bleskově smazat všechny Flash cookies ve svém počítači. V tomto okně lze také nastavit globální zákaz LSO cookies – to ale nelze doporučit, protože i tyto cookies mohou plnit užitečnou funkci. Na nich závisí správné fungování "Flash her" a umí i ukládat přístupové údaje. V nejnovějších verzích prohlížečů jsou také Flash cookies zablokovány v soukromém režimu. "LSO-sledování" ale prý bude už brzy minulostí: firmy Google, Mozilla a Apple společně s Adobe vyvinuly rozhraní, které umožňuje vyprázdnit LSO paměť přímo v prohlížeči. Tato technologie je již realizována v prohlížečích Google Chrome a Firefox 4 a očekává se, že další prohlížeče budou brzy následovat.
To je sice chvályhodná aktivita, ale firmy z oblasti sledování také nezahálí. Prvním krokem byla taktika tzv. zombie cookies, což znamenalo, že jedna cookie byla uložena na různých místech. Pokud uživatel smazal jednu cookie, ke sledování bylo možné využít ostatní. Tuto taktiku dovádí do extrémů projekt "evercookie".
Evercookie: 13 špionů
V současnosti je evercookie jen technická demonstrace dostupných možností pro technologii cookies. Pokud navštívíte stránky hackera Samyho Kankara (samy.pl/evercookie), můžete si na počítač uložit evercookie, která je uložena na třinácti různých místech v systému – stačí jen kliknout na "Click to create evercookie". Její obsah je ale neškodný: náhodně vygenerované číslo mezi 1 a 1 000. Kankar s evercookie kombinuje tři různé kategorie cookies: nejprve uloží klasický typ cookies, poté využije další možnosti ukládání textových informací v prohlížeči a ve finále využije technologie HTML5.
Pro většinu známých typů cookies (od HTTP přes Flash až po Silverlight) existují nástroje na jejich odstranění – například program CCleaner, který najdete na Chip DVD. To v kombinaci s nastavením prohlížeče dává uživatelům rozsáhlé možnosti nastavení cookies. Tyto principy v zásadě fungují i u HTML5, v prohlížeči ale chybí možnost uchovat údaje požadované uživatelem a kvůli tomu nelze snadno eliminovat pouze cookies třetích stran.
Každý současný prohlížeč umožňuje webovému serveru ukládat data v "session storage" a "local storage". Obě datová úložiště by měla v budoucnosti nahradit HTTP cookies, které jsou omezeny velikostí 4 kB. Ve srovnání s tím nabízí HTML5 úložiště podstatně více – až 10 MB prostoru. Obě úložiště tvoří v prohlížeči jedinou databázi. Zatímco "session storage" prohlížeč vyprázdní v případě uzavření aktivní karty, vyčištění "local storage" je mnohem obtížnější. Toho lze dosáhnout pomocí speciální funkce v prohlížeči, navíc pouze se správným nastavením. Například ve Firefoxu lze "local storage" vyčistit, pouze pokud v nabídce "Nástroje" u příkazu "Clear recent history" zvolíte položku "Everything".
U Internet Exploreru je proces mazání podobný – v nabídce "Možnosti internetu | Security" klikněte na příkaz "Delete browser history", ale nejprve zkontrolujte, zda je zrušeno zatržítko u položky "Retain preferred website data". Odstranit zmiňovaná data je možné i pomocí plné verze z našeho DVD – Maxa Cookie Manager to zvládne pomocí jediného kliknutí.
U některých technologií ale nelze nad "evercookie" zvítězit tak snadno. Samy Kankar například vymyslel další způsob pro uložení cookies. Vytváří odkazy na historii prohlížeče, v jejíž cestě se ukládají informace (například www.fun.com/ahcd), přičemž informace o cookie jsou uloženy v řetězci "ahcd" a mohou být získány opět pomocí javascriptu. Tento trik funguje ve všech prohlížečích kromě Firefoxu 4, který má proti této technice obranu.
Mnohem vynalézavější je Kankarův nápad skrýt veškeré informace v RGB hodnotách obrázku ve formátu PNG. Pro pozdější čtení těchto hodnot může být využit například prvek
Složení klasické cookie
Skládá se z pěti řádků textu, pole "Value" obsahuje informace o uživateli.
Obsah Informace o chování uživatele je skryta v hodnotě, kterou může číst pouze osoba, která vytvořila cookie.
Datum expirace Stanoví datum, ke kterému vyprší platnost cookie.
Zdroj Určuje, kdo cookie vytvořil.
Jméno Název cookie je důležitý jen pro osobu, která cookie vytvořila.
Přístup Řekne vám, kdy byla naposledy cookie přečtena a obnovena.
SUPERCOOKIE: Ze kterých komponent může být složená a jak se jich můžete zbavit
Panopticlick: Otisk počítače
Zbytečné soubory cookies? Jednoduché informace z prohlížeče ukazují dostatek systémových vlastností pro jednoznačnou identifikaci téměř každého uživatele.
Při otevření webové stránky se častokrát "v zákulisí" děje více, než si dokážete představit. Velmi často například s kódem stránky na vašem počítači také "přistane" javascript s dotazem na konfiguraci systému a nastavení prohlížeče. Zjištění prohlížeče se využívá především proto, že starší verze Internet Exploreru příliš nedodržovaly oficiální normy. Bohužel v současnosti chce od vás skript často vědět mnohem více než jen verzi prohlížeče.
SKRIPT JAKO DATOVÝ DETEKTIV
Na tento problém chce upozornit Electronic Frontier Foundation, která na svých stránkách (https://panopticlick.eff.org) nabízí možnost si otestovat, zda je vaše konfigurace (a tedy i její otisk na internetu) unikátní. Ve většině případů opravdu platí, že i ve srovnání s 1,5 milionu "již otestovaných" surfařů je uživatelův otisk unikátní. Na vině jsou obvykle informace o nainstalovaných písmech a doplňcích prohlížeče.
Díky tomu lze tyto informace použít jako "záložní" cookie a bez problémů tak identifikovat i ty surfaře, kteří při ukončení prohlížeče cookies mažou. K tomu stačí jen vytvořit webový server, který tyto informace (počítačový "otisk prstu") použije k vytvoření vlastní cookie. Tato taktika může učinit dosavadní boj za větší soukromí zcela zbytečným…
Foto: Unikátní: Jen na základě běžně dostupných údajů lze váš počítač najít mezi miliónem jiných...