スーパークッキー、ゾンビクッキー、エバークッキーとは何ですか？それらは脅威ですか？

おせっかいな隣人にあなたの秘密のレシピを見つけてもらうことは、Cookieを取り巻く最大のプライバシー問題でしたが、インターネットのおかげでそれは変わりました。通常のブラウザCookieは便利で簡単にクリアできることがよくありますが、他のバリエーションもあります。これらのタイプのうちの2つ、スーパークッキーとゾンビクッキー（「エバークッキー」として知られる）は、取り除くのが特に難しい場合があります。幸いなことに、それらは見過ごされておらず、ブラウザはこれらの卑劣な追跡技術と戦うために進化しています。

スーパークッキー

この用語は、いくつかの異なるテクノロジーを説明するために使用されているため、少し混乱する可能性がありますが、実際にはその一部のみがCookieです。ただし、一般的には、一意のIDを提供するためにブラウジングプロファイルを変更するものすべてを指します。このように、Cookieと同じ機能を果たし、サイトや広告主があなたを追跡できるようにしますが、Cookieとは異なり、実際に削除することはできません。

「スーパーCookie」という用語は、Unique Identifier Headers（UIDH）に関連して、HTTP Strict Transport Security（HSTS）の脆弱性として使用されることがよくありますが、元の用語はトップレベルドメインから発信されたCookieを指します。これは、「。com」や「.co.uk」などのドメインにCookieを設定して、そのドメインサフィックスを持つすべてのウェブサイトがCookieを表示できるようにすることができることを意味します。

Google.comがスーパーCookieを設定した場合、そのCookieは他の「.com」Webサイトに表示されます。これは明らかにプライバシーの問題ですが、それ以外は従来のCookieであるため、ほとんどすべての最新のブラウザがデフォルトでそれらをブロックします。この種のスーパークッキーについてはもう誰もあまり話さないので、一般的に他の2つについてもっと聞くことになります。

一意の識別子ヘッダー（UIDH）

一意の識別子ヘッダーはコンピュータにはまったくありません。ISPとWebサイトのサーバーの間で発生します。方法は次のとおりです。

1. ウェブサイトのリクエストをISPに送信します。
2. ISPがリクエストをサーバーに転送する前に、リクエストのヘッダーに一意の識別子文字列を追加します。
3. この文字列を使用すると、Cookieを削除した場合でも、サイトにアクセスするたびに同じユーザーとしてサイトを識別できます。彼らはあなたが誰であるかを知ったら、同じCookieをブラウザに直接戻すことができます。

簡単に言うと、ISPがUIDHトラッキングを使用している場合、アクセスするすべてのWebサイト（またはISPに料金を支払っているWebサイト）に個人の署名が送信されます。これは主に広告収益の最適化に役立ちますが、FCCが顧客に通知しなかった、またはオプトアウトするオプションを提供したことでVerizonに135万米ドルの罰金を科すほどの侵襲的です。

Verizonを除いて、企業がUIDH情報を使用しているデータはあまりありませんが、消費者の反発により、かなり人気のない戦略になっています。さらに良いことに、暗号化されていないHTTP接続でのみ機能し、ほとんどのWebサイトはデフォルトでHTTPSを使用し、HTTPS Everywhereなどの拡張機能を簡単にダウンロードできるため、このスーパーCookieは実際にはそれほど問題ではなく、おそらく広く使用されていません。追加の保護が必要な場合は、VPNを使用してください。これにより、UIDHが添付されていない状態でリクエストがウェブサイトに中継されることが保証されます。

HTTPS Strict Transfer Security（HSTS）

これは、特定のサイトで具体的に特定されていないまれなタイプのスーパーCookieですが、AppleがSafariにパッチを適用し、攻撃の確認されたインスタンスを引用しているため、明らかに悪用されていました。

HSTSは実際には良いことです。これにより、ブラウザは安全でないHTTPバージョンではなくHTTPSバージョンのサイトに安全にリダイレクトできます。残念ながら、次のレシピでスーパークッキーを作成するためにも使用できます。

1. 多くのサブドメイン（「domain.com」、「subdomain2.domain.com」など）を作成します。
2. メインページへの各訪問者に乱数を割り当てます。
3. ページの非表示のピクセルにサブドメインを追加するか、ページの読み込み中に各サブドメインを介してユーザーをリダイレクトすることにより、ユーザーにすべてのサブドメインを読み込むように強制します。
4. 一部のサブドメインでは、HSTSを使用して安全なバージョンに切り替えるようにユーザーのブラウザに指示します。その他の場合は、ドメインをセキュリティで保護されていないHTTPのままにします。
5. サブドメインのHSTSポリシーがオンになっている場合、「1」としてカウントされます。オフの場合、「0」としてカウントされます。この戦略を使用すると、サイトはブラウザのHSTS設定でユーザーのランダムID番号を2進数で書き込むことができます。
6. 訪問者が戻るたびに、サイトはユーザーのブラウザのHSTSポリシーをチェックします。これにより、最初に生成されたものと同じ2進数が返され、ユーザーが識別されます。

複雑に聞こえますが、結局のところ、Webサイトはブラウザに複数のページのセキュリティ設定を生成して記憶させることができ、次にアクセスしたときに、他の誰もその設定の正確な組み合わせを持っていないため、あなたが誰であるかを知ることができます。 。

Appleは、HSTS設定をサイトごとに1つまたは2つのメインドメイン名にのみ設定できるようにしたり、サイトが使用できるチェーンリダイレクトの数を制限したりするなど、この問題の解決策をすでに考案しています。他のブラウザはこれらのセキュリティ対策に従う可能性がありますが（Firefoxシークレットモードが役立つようです）、これが発生することは確認されていないため、ほとんどの場合、最優先事項ではありません。いくつかの設定を掘り下げてHSTSポリシーを手動でクリアすることで、問題を自分の手に委ねることができますが、それだけです。

ゾンビクッキー/エバークッキー

ゾンビクッキーはまさにそのように聞こえます–あなたがそれらがなくなったと思った後に生き返るクッキー。 「Evercookies」と呼ばれるものを見たことがあるかもしれませんが、残念ながら、これはWonkaの永遠のゴブストッパーに相当するCookieではありません。 「evercookie」は、実際には、Cookieが削除作業を回避するためのさまざまな方法を示すために作成されたJavaScriptAPIです。

ゾンビCookieは、通常のCookieストレージの外に隠れているため、クリアされません。ローカルストレージが主なターゲットであり（AdobeFlashとMicrosoftSilverlightはこれを頻繁に使用します）、一部のHTML5ストレージも問題になる可能性があります。生きている死んだクッキーは、あなたのウェブ履歴やあなたのブラウザがそのキャッシュに入れることを許可するRGBカラーコードにさえあるかもしれません。ウェブサイトがしなければならないのは、隠されたCookieの1つを見つけることだけで、他のCookieを復活させることができます。

ただし、これらのセキュリティホールの多くは解消されつつあります。 FlashとSilverlightは、最新のWebデザインの大きな部分ではなく、多くのブラウザーは、他のEvercookieの隠れ場所に対して特に脆弱ではなくなりました。ただし、これらのCookieがシステムに侵入する可能性がある方法は多数あるため、自分自身を保護する単一の方法はありません。ただし、適切なプライバシー拡張機能と優れたブラウザクリアの習慣は決して悪い考えではありません！

待って、私たちは安全かどうか？

オンライン追跡技術は常にトップに立っているため、プライバシーが懸念される場合は、オンラインで100％の匿名性が保証されることは決してないという考えに慣れておく必要があります。

ただし、スーパーCookieは実際にはあまり見られず、ブロックされることが増えているため、おそらくあまり心配する必要はありません。一方、ゾンビクッキー/エバークッキーは取り除くのが難しいです。彼らのより有名な手段の多くは閉鎖されましたが、すべての脆弱性にパッチが適用されるまでは機能する可能性があり、常に新しい技術を思い付くことができます。