20:12
12/8/2012

Za wykorzystanie “furtki” w konfiguracji przeglądarki Safari i programistyczne obchodzenie jej mechanizmów bezpieczeństwa, zaprojektowanych po to, aby chronić prywatność internautów. Kilka cennych wskazówek co bezpiecznej konfiguracji przeglądarki poniżej.

Blokada ciastek spoza głównej domeny

Zacznijmy od początku. Użytkownicy Safari domyślnie mają włączoną opcję “Do not allow 3rd party cookies“. Opcja ta powoduje, że tylko ciasteczka z domeny, która jest widoczna w pasku adresowym przeglądarki mogą zostać ustawione na komputerze użytkownika. Nie występuje więc częsta i niepożądana sytuacja, że wchodząc np. na stronę onet.pl, automatcznie, od razu instalują nam się na komputerze dziesiątki ciasteczek ze wszystkich firm/domen/skryptów z których serwowane są bannery na Onecie (z reguły tego typu ciasteczka służą do śledzenia aktywności użytkownika i nie są potrzebne do poprawnego działania serwisu).

ciasteczka ustawiane przez onet.pl

wszystkie ciasteczka ustawiane przez onet.pl (jak widać, niektóre spoza domeny onetu)

Inny przykład: użytkownicy Safari po wejściu na stronę, która korzysta z Facebookowego przycisku “Lubię to” nie zobaczą go w wersji spersonalizowanej, bo Facebook nie dowie się (dzięki ustawieniom Safari) czy internauta jest zalogowany do Facebooka (Facebook nie ma możliwości odczytania ciastka).

Ustawienie “Do not allow 3rd party cookies” (dostępne również w innych przeglądarkach, ale niewłączane domyślnie) jest więc najlepszym, z punktu widzenia ochrony prywatności (brak zbędnych ciastek śledzących) i użyteczności (ponieważ ciasteczka z domeny na której jesteśmy działają, można zalogować się do danego serwisu — co nie jest możliwe przy całkowitym wyłączeniu ciastek). Opcję “Do not allow 3rd party cookies” można jednak obejść… Jak?

Jak obejść blokadę ciastek?

Jednym ze sposobów jest, zaraz po wykryciu, że użytkownik nie przyjmuje ciasteczek z innych domen niż ta która jest widoczna w pasku adresu, przepisać wszystkie linki generowane przez serwis w kodzie HTML tak, aby przepuszczały użytkownika przez “trackingową” domenę.

Taki mechanizm stosował kiedyś PayPal.com — link “Wyślij pieniądze” zamiast być podlinkowany do http://paypal.com/send, u użytkowników z włączoną opcją “Do not allow 3rd party cookies” kierował do http://strona-sledzaca-ciastkami.com/?rdir=paypal.com/send, który po kliknięciu przez chwilę sprawiał, że główną domeną (widoczną w pasku adresowym, a więc mogącą rzucić ciastko śledzące) jest “złośliwa” http://strona-sledzaca-ciastkami.com, która następnie przekierowuje na stronę docelową, czyli http://paypal.com/send. Efekt? Użytkownik miał teraz ustawione 2 ciastka — nie tylko z paypal.com ale również ze “zbędnej” strony-sledzącej-ciastkami.com.

Co dokładnie robiło Google?

Google korzystało z trochę innej metody. Okazuje się, że jeśli Safari, do zasobu załadowanego z innej domeny niż domena główna (czyli ta widoczna w pasku adresowym) wyśle żądanie POST, to ciasteczko jest zapisywane (przykładowy kod tutaj). Google, po wykryciu internauty korzystającego z Safari tworzyło więc w JS formularz, który automatycznie wysyłało (bez wiedzy użytkownika) do innej domeny ładowanej przez ramkę. To pozwalało im ustawiać ciasteczka sieci reklamowej DoubleClick, które były świadome, czy internauta jest zalogowany do serwisu Google Plus.

Google i Safari tracking

Jak Google śledziło użytkowników Safari (fot. WSJ)

I dokładnie za ten kod, oraz to, że Google śledziło internautów korzystających z Safari (pomimo zapewnień skierowanych do nich na stronie FAQ, że konfiguracja ich przeglądarki sprawia, że nie są śledzeni) zapłaci 22 500 000 amerykańskich dolarów… To największa kara jaką do tej pory nałożyło FTC. Sprawa została wykryta 17-tego lutego 2012, a dzień później Google usunęło swoje wskazówki kierowane do użytkowników Safari.

Warto zauważyć, że omijanie blokady ciasteczek w Safari zapewne nie byłoby warte zachodu (6% rynku przeglądarek) gdyby nie to, że jeśli chodzi o internet mobilny, to Safari, z racji iPhone’a ma pokaźny rynek…

Surfuje z

Zobacz wyniki ankiety

Co zrobić aby lepiej chronić swoją prywatność w sieci?

Warto też przekonfigurować swoją przegladarkę tak aby wysyłała nagłówek DNT (Do-Not-Track):

Ale ponieważ implementacja obsługi nagłówka DNT jest po stronie twórców stron WWW dobrowolna, warto tak zmienić obsługę ciastek w swojej przeglądarce, aby akceptowane były tylko ciastka z głównej, widzianej w pasku adresowym domenie. Każda przeglądarka, nie tylko Safari, umożliwia włączenie takiej opcji.

Można też rozważyć zaznaczenie opcji “czyszczenia ciastek po zamknięciu okna przeglądarki” (jeśli jakieś ciasteczko mimo wszystko zostanie ustawione, to przeglądarka skasuje je przed kolejną sesją).

Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. Śmiem twierdzić, że 22,5mln USD dla Google to nie jest monstrualna kwota… :)

  2. Ktoś wie komu Google ma to zapłacić?

  3. Drogi Niebezpieczniku, a gdzie informacje dla Opery?

    • Jak chcesz używać przeglądarki renderującej gorzej niż IE… 6.0, to proszę bardzo. Jak ja ostatnio (pół roku temu) próbowałem opery, to jak tylko powiększałem strony z ctrl+scroll to mi się wszystko rozjeżdżało, gdzie w FF czy chrome działało ok.

    • DNT: Zaawansowane->Bezpieczeństwo i zaznaczamy Informuj witryny, że użytkownik nie chcę być śledzony (wymaga Opery min. 12)
      Ciasteczka: Zaawansowane->Ciasteczka i zaznaczamy Akceptuj ciasteczka tylko z witryny którą odwiedza.
      Dodatkowo ja mam zaznaczone Usuwaj nowe ciasteczka podczas zamykania Opery (traci się autologowanie, z drugiej strony mnie denerwuję przechowywanie takich śmieci na dysku ;) ).

    • @up: To chyba używam innej Opery.

      Mój “staż” to jakieś 3-4 lata. Używam jej codziennie i nie miałem żadnych problemów z jakimkolwiek serwisem. Ostatnio jedynie pojawił się (wcześniej nie było) problem ze stroną codeacademy.com.

      Więc ciekawi mnie, co Tobie mogło rozwalić strony?

      BTW. Z tego co pamiętam, Opera była w czołówce jeżeli chodzi o wydajność. Więc chyba porównujesz Operę z czasów prehistorycznych z najnowszymi przeglądarkami o_O

    • Opera nie wspiera chyba DNT

    • Opera wspiera DNT od wersji 12.
      Ctrl+f12 -> Zaawansowane -> Bezpieczeństwo -> Informuj witryny (…) do zaznaczenia.

      Co do ustawienia ciasteczek tylko z domeny, którą odwiedzamy to:
      Ctrl+f12 -> Zaawansowane -> Ciasteczka -> Akceptuj ciasteczka tylko z witryny, którą odwiedzam (ustawienie globalne)
      lub pod PPM na dowolnej stronie -> Preferencje dla witryny -> Ciasteczka
      Działa od przynajmniej wersji 8.5

    • @misiek: a wyszukiwać obrazem w guglu możesz? ;>

    • No tu akurat to do Googla pretensje że serwuje zjebany kod Operze. Jak ustawisz sobie żeby sie przedstawiała jako Firefox to wyszukiwanie obrazem działa bez problemu.

  4. Przydałaby się opcja czyszczenia ciastek po zamknięciu wszystkich kart odwołujących się do da danego serwisu. Czasami człowiek zapomni się wylogować, a przeglądarka nie jest zamykana przez kilka godzin. Może ktoś zna jakiś plugin do FF realizujący taką funkcjonalność?

    • Może nie dokładnie to o co prosiłeś, ale zawsze możesz wyciągnąć sobie ‘ikonki’ na pasek i poprostu jednym kliknięciem czyścić ciastka dla danej witryny, tudzież łatwo zarządzać ich ustawieniami.

      https://addons.mozilla.org/en-US/firefox/addon/cookie-controller/

    • Po prostu wyłącz ciasteczka. Większość serwisów korzysta z sesji i ciastek wymaga tylko do potwierdzenia autologowania.

  5. Ja korzystam z jeszcze innego rozwiązania – w Chrome blokuję domyślnie wszystkie pliki cookie, a kiedy potrzebuję funkcji która ich wymaga, klikam na pasku adresu przekreśloną ikonkę ciastka która się wówczas pokazuje, i z listy wybieram to które mam zamiar tolerować (i wybieram czy na zawsze, czy ma być przy każdym wyłączeniu kasowane). Listą wyjątków można łatwo zarządzać, umożliwia m.in. wybór subdomen czy dopuszczanego protokołu.

    W przypadku stron które w ogóle nie chcą wyświetlić zawartości bez zapisania pliku cookie (np na stronach Microsoftu następuje pętla przekierowań), zwykle po prostu rezygnuję z ich odwiedzania. Może kiedy administratorzy będą w logach widzieć że taka sytuacja występuje coraz częściej, zaczną jednak rozważać traktowanie cookie jako czegoś dobrowolnego.

    • Jak w lynx’ie;)

    • Skrypty trackingowe i Chrome, o ironio ;)

  6. W kontekście ciasteczek warto jeszcze wspomnieć o https://niebezpiecznik.pl/post/grozne-ciasteczka-flashowe/

  7. Polecam również add-on Ghostery do różnych przeglądarek. Wyświetla nam jakie serwisy nas podglądają. ;)

  8. “Don’t be evil”. ;>

  9. Dzięki za topic, ostatnio googlowałam sporo na temat ciasteczek więc artykuł trafił w 10. Osobiście polecam surfowanie ‘in private’ – po zamknięciu przeglądarki ciasteczka i wszystkie inne ‘śmieci’ lecą do kosza z automatu, wystarczy już tylko flushdns/cache/nscd i i jest cacy :)

  10. a ja wszystkim bardzo polecam Abine DNT+ darmowy dodatek do przeglądarek – będę niezmiernie zobowiązany, gdyby na ten temat wypowiedział się Piotr.

  11. Jak widać http://postimage.org/image/qn5gf78bf/ nie tylko onet ładuje ciasteczka nie z swojej domeny :D

  12. Jeśli mnie oczy nie mylą, to w wersji Chrome 21 (czyli na dzień dzisiejszy najnowszej) Google usunęło mechanizm autokasowania ciasteczek podczas zamykania przeglądarki. Z chromopodobnych z taką funkcją znam tylko dwie: SRWARE Iron i Torch. Cała reszta chyba też się tej opcji pozbyła. Ciekawe..

    • Nie gadaj głupstw tylko najpierw sprawdź dokładnie, u mnie ta opcja jest ;)

    • U mnie 22.0.1229.2 dev-m nadal jest taka opcja. Po pierwsze masz “Keep local data only until I quit my browser” i jeszcze masz “Manage Exceptions” gdzie możesz dodać sobie hosty i ustawić akcję powiązaną z ciastkami: allow, clear on exit, block.

    • “sorry gregory” jak to się mawia Kasim, ale jak mówię że nie mam tej opcji, to wiem co mówię:
      http://img40.imageshack.us/img40/2725/chrome1ustawieniatresci.jpg

      Wersja przeglądarki: Google Chrome 21.0.1180.75

      @ Mistiqe
      Tak, wiem że jest taka opcja, ale jakbyś nie zauważył to nie o niej piszę, tylko o braku automatycznego usuwania ciasteczek i danych z pluginów- jak dla mnie to jest różnica.

    • No przecież jak byk masz “Zachowuj dane lokalne tylko do zamknięcia przeglądarki”…

    • Mówimy o opcji “automatycznie usuwaj ciasteczka i dane z pluginów podczas zamknięcia przeglądarki” a której to opcji nie ma, jak przykładowo tu:
      http://img155.imageshack.us/img155/4463/chrome2ustawieniatresci.jpg
      a nie o o: “zachowuj dane lokalne tylko do zamknięcia przeglądarki” która była w niej od praktycznie samego początku jakby ktoś nie zauważył. Screen wyżej jest z wersji bodajże 10 Chrome’a.

      A skoro tak – to chętnie się dowiem jaka jest między nimi różnica. Nie wmówicie mi bez wyraźnych dowodów, że dopiero teraz Google się skapnęło, że dwa razy jest “to samo” w przeglądarce i w wersji 21 usunęli “duplikat”.
      Ja Wam mówię, coś w tym jest :P

  13. Moja przeglądarka ma podgląd żądań zapisania ciasteczek w czasie rzeczywistym i filtr ciasteczek bazowany na wyrażeniach regularnych. Domyślną opcję ustawiam na “odrzuć” i dopisuję tylko te ciastka, które są niezbędne. Czasem to wymaga trochę zabawy, ale dla regularnie odwiedzanych stron wystarczy to zrobić raz.

    • Mógłbyś to szerzej opisać? W sensie ten podgląd w czasie rzeczywistym i filtr ciastek.

    • Podgląd ciastek w oknie loga, co prawda tylko tych odrzuconych, ale skoro domyślnie odrzucam wszystko, to widzę co strona (i podlinkowane reklamy) chcą mi wepchnąć. Przykładowo widzę “Cookie GTest for host gazeta.hit.gemius.pl is rejected by settings.”. Następnie jeżeli chcę jakieś ciastka z danej strony wpuścić (bo np. jest to forum, na którym mam konto), w oknie “Ustawienia URL” zaczynam od wyrażenia regularnego na URL, w typowym przypadku to będzie nazwa hosta, np. “niebezpiecznik\.pl”. Teraz mogę podać kolejne wyrażenie regularne, akceptujące (albo odrzucające) ciastka ze zdefiniowanej domeny. Jeżeli chcę dostawać wszystkie, to wiadomo “.*”, ale np. na foum opartym na PhpBB, mogę wpuszczać ciastka samego forum, a uwalać reklamowe i trackingi z Googla i innych. Dodatkowo mam możliwość ustawienia spoofingu per URL oraz włączenia lub wyłączenia JavaScriptu. Brzmi to dość nerdowsko, w dodatku w trybie paranoid, ale to taka moja mała satysfakcja ;->.

    • Mam w oknie loga wyświetlanie wszystkich uwalonych ciasteczek, a ponieważ opcja domyślna jest “uwalaj”, więc przy opracowywaniu nowej strony widzę wszystkie. Później mam konfigurację per URL (wyrażenie regularne dopasowywane do URL-a) i mogę tam sobie przefiltrować ciastka po nazwie drugim regexpem. Mogę też selektywnie spoofować useragenta i wyłączać JS.

  14. Do obrony przed śledzeniem polecam również dodatek Do not track plus od abine http://abine.com/dntdetail.php
    Jest darmowy i nawet nie taki zły.

  15. Ja używam Ghostery, addon który blokuje skrypty i niechciane ciasteczka :) Jak na razie się sprawdza

  16. @ Henryk a to nie czasem opcja “Zachowuj dane lokalne tylko do zamknięcia przeglądarki” http://imageshack.us/photo/my-images/19/53496722.jpg/ :D (Google Chrome wersja 21 – najnowsza oficjalna)

  17. Wydaje mi się, że dyskryminujecie IE :)

  18. Nasze ukochane TVP dba o bezpieczeństwo polskich internautów i zamiast Safari poleca Internet Explorer 6.0.2 …
    http://ww20.tvp.pl/portal/page?_pageid=34,34324&_dad=portal&_schema=PORTAL
    Należy zjechać na sam dół, napis czerwonym kolorem

    • …na stronie BIPa zrobionego (i pewnie nigdy nie uaktualnionego) w 2005r. (co widać po “copyrightach”). Normalnie rewelacja roku, nic tylko zacząć sie śmiać.
      Może nie róbmy z niebezpiecznika pierdla pokroju FAKT czy DEMOTYWATORY – bo akurat tam takie ciekawostki są normą.

  19. Kara jak najbardziej zasłużona. Google przesadziło, zresztą już nie pierwszy raz. TVP poleca IE 6.0.2 ? Poczekajcie aż przestanę się śmiać…

  20. “wskazówek co bezpiecznej konfiguracji”

  21. […] czas temu informowaliśmy o karze, jaką Google musi zapłacić za obchodzenie zabezpieczeń przed 3rd party cookies wbudowanych w Safari. Oto wynik kolejnej ugody w tej samej sprawie: 17 milionów dolarów. W sumie 39 milionów […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: