코가 많은 이웃이 쿠키를 둘러싼 가장 큰 개인 정보 보호 문제였던 당신의 비밀 레시피를 찾도록 하는 것이 인터넷 덕분에 바뀌었습니다. 일반 브라우저 쿠키는 종종 유용하고 지우기 쉽지만 계속해서 사용자를 감시하도록 만들어진 다른 변종도 있습니다. 이러한 유형 중 슈퍼쿠키와 좀비 쿠키(종종 "에버쿠키"라고도 함)는 제거하기가 특히 어려울 수 있습니다. 다행히도 그들은 눈에 띄지 않았으며 브라우저는 이러한 교활한 추적 기술에 맞서기 위해 진화하고 있습니다.
슈퍼쿠키
이 용어는 몇 가지 다른 기술을 설명하는 데 사용되었기 때문에 약간 혼란스러울 수 있습니다. 그 중 일부는 실제로 쿠키입니다. 그러나 일반적으로 고유한 ID를 부여하기 위해 검색 프로필을 변경하는 모든 것을 말합니다. 이러한 방식으로 쿠키와 동일한 기능을 제공하므로 사이트 및 광고주가 귀하를 추적할 수 있지만 쿠키와 달리 실제로 삭제할 수는 없습니다.
고유 식별자 헤더(UIDH)와 관련하여 그리고 HTTP Strict Transport Security(HSTS)의 취약점으로 사용되는 "수퍼 쿠키"라는 용어를 가장 자주 듣게 될 것입니다. 원래 용어는 최상위 도메인에서 시작되는 쿠키를 가리킵니다. 즉, ".com" 또는 ".co.uk"와 같은 도메인에 대해 쿠키를 설정하여 해당 도메인 접미사가 있는 모든 웹사이트에서 쿠키를 볼 수 있습니다.
Google.com이 슈퍼쿠키를 설정하면 해당 쿠키는 다른 ".com" 웹사이트에서 볼 수 있습니다. 이것은 명백한 개인 정보 보호 문제이지만 그렇지 않으면 기존 쿠키이기 때문에 거의 모든 최신 브라우저는 기본적으로 쿠키를 차단합니다. 이러한 종류의 슈퍼쿠키에 대해 더 이상 아무도 이야기하지 않기 때문에 일반적으로 다른 두 가지에 대해 더 많이 듣게 될 것입니다.
고유 식별자 헤더(UIDH)
고유 식별자 헤더는 컴퓨터에 전혀 없습니다. ISP와 웹사이트 서버 사이에서 발생합니다. 방법은 다음과 같습니다.
- ISP에 웹사이트 요청을 보냅니다.
- ISP가 요청을 서버로 전달하기 전에 요청 헤더에 고유 식별자 문자열을 추가합니다.
- 이 문자열을 사용하면 사이트에서 쿠키를 삭제한 경우에도 방문할 때마다 동일한 사용자로 식별할 수 있습니다. 귀하가 누구인지 알게 되면 동일한 쿠키를 귀하의 브라우저에 바로 다시 넣을 수 있습니다.
간단히 말해서 ISP가 UIDH 추적을 사용하는 경우 방문하는 모든 웹사이트(또는 ISP에 비용을 지불한 웹사이트)에 개인 서명을 보내는 것입니다. 대부분 광고 수익을 최적화하는 데 유용하지만 FCC가 고객에게 알리지 않거나 선택 해제 옵션을 제공한 이유로 Verizon에 135만 달러의 벌금을 부과할 정도로 침해적입니다.
Verizon을 제외하고 UIDH 정보를 사용하는 회사에 대한 데이터는 많지 않지만 소비자의 반발로 인해 상당히 인기가 없는 전략이 되었습니다. 더 좋은 점은 암호화되지 않은 HTTP 연결에서만 작동하며 대부분의 웹사이트는 이제 기본적으로 HTTPS를 사용하고 HTTPS Everywhere와 같은 확장을 쉽게 다운로드할 수 있기 때문에 이 슈퍼쿠키는 실제로 더 이상 문제가 되지 않으며 아마도 널리 사용되지 않을 것입니다. 추가 보호를 원하시면 VPN을 사용하세요. 이렇게 하면 UIDH가 연결되지 않은 상태로 요청이 웹사이트로 전달됩니다.
HTTPS 엄격한 전송 보안(HSTS)
이것은 특정 사이트에서 구체적으로 식별되지 않은 드문 유형의 슈퍼쿠키이지만, 확인된 공격 사례를 인용하여 Apple이 Safari를 패치한 이후로 악용되고 있었던 것으로 보입니다.
HSTS는 실제로 좋은 것입니다. 이를 통해 브라우저는 안전하지 않은 HTTP 버전이 아닌 HTTPS 버전의 사이트로 안전하게 리디렉션됩니다. 불행히도 다음 레시피로 슈퍼쿠키를 만드는 데 사용할 수도 있습니다.
- 하위 도메인을 많이 만듭니다(예:"domain.com", "subdomain2.domain.com" 등).
- 각 방문자를 기본 페이지에 임의의 번호로 할당합니다.
- 사용자가 페이지의 보이지 않는 픽셀에 하위 도메인을 추가하거나 페이지를 로드하는 동안 각 하위 도메인을 통해 사용자를 리디렉션하여 모든 하위 도메인을 로드하도록 합니다.
- 일부 하위 도메인의 경우 사용자의 브라우저에 HSTS를 사용하여 보안 버전으로 전환하도록 지시합니다. 다른 사용자의 경우 도메인을 보안되지 않은 HTTP로 둡니다.
- 하위 도메인의 HSTS 정책이 켜져 있으면 "1"로 계산됩니다. 꺼져 있으면 "0"으로 계산됩니다. 이 전략을 사용하여 사이트는 브라우저의 HSTS 설정에서 사용자의 임의 ID 번호를 바이너리로 작성할 수 있습니다.
- 방문자가 돌아올 때마다 사이트는 사용자 브라우저의 HSTS 정책을 확인하고 원래 생성된 것과 동일한 이진수를 반환하여 사용자를 식별합니다.
복잡하게 들리지만 요약하면 웹 사이트는 브라우저가 여러 페이지에 대한 보안 설정을 생성하고 기억하도록 할 수 있으며 다음에 방문할 때 다른 사람이 정확한 설정 조합을 갖고 있지 않기 때문에 사용자가 누구인지 알 수 있다는 것입니다. .
Apple은 사이트당 하나 또는 두 개의 기본 도메인 이름에 대해서만 HSTS 설정을 설정하도록 허용하고 사이트에서 사용할 수 있는 연결 리디렉션 수를 제한하는 등 이 문제에 대한 솔루션을 이미 내놓았습니다. 다른 브라우저는 이러한 보안 조치를 따를 가능성이 높지만(Firefox 시크릿 모드가 도움이 되는 것 같습니다), 확인된 사례가 없기 때문에 대부분의 브라우저에서 최우선 순위가 아닙니다. 일부 설정을 자세히 살펴보고 HSTS 정책을 수동으로 삭제하여 문제를 해결할 수 있지만 그게 전부입니다.
좀비 쿠키/에버쿠키
좀비 쿠키는 소리가 정확히 같은 것입니다. 쿠키는 사라졌다고 생각한 후 다시 살아나는 것입니다. 불행히도 Wonka의 영원한 도깨비와 같은 쿠키가 아닌 "Evercookies"라고 불리는 것을 보았을 것입니다. "Evercookie"는 실제로 쿠키가 삭제 노력을 우회할 수 있는 다양한 방법을 설명하기 위해 만든 JavaScript API입니다.
좀비 쿠키는 일반 쿠키 저장소 외부에 숨어 있기 때문에 지워지지 않습니다. 로컬 저장소가 주요 대상이며(Adobe Flash 및 Microsoft Silverlight가 이를 많이 사용함) 일부 HTML5 저장소도 문제가 될 수 있습니다. 살아있는 데드 쿠키는 웹 기록이나 브라우저가 캐시에 허용하는 RGB 색상 코드에 있을 수도 있습니다. 웹사이트는 숨겨진 쿠키 중 하나를 찾기만 하면 다른 쿠키를 부활시킬 수 있습니다.
그러나 이러한 보안 허점 중 많은 부분이 사라지고 있습니다. Flash와 Silverlight는 현대 웹 디자인의 큰 부분이 아니며 많은 브라우저는 더 이상 Evercookie의 다른 은신처에 특히 취약하지 않습니다. 그러나 이러한 쿠키가 시스템에 침투할 수 있는 다양한 방법이 있기 때문에 자신을 보호할 수 있는 단일 방법은 없습니다. 그러나 적절한 개인 정보 확장 프로그램과 좋은 브라우저 비우기 습관은 결코 나쁜 생각이 아닙니다!
잠깐, 우리는 안전한가요?
온라인 추적 기술은 정상을 향한 끊임없는 경쟁이므로 개인 정보가 우려되는 사항이라면 온라인에서 100% 익명이 보장되지 않는다는 생각에 익숙해져야 합니다.
하지만 슈퍼쿠키는 야생에서 자주 볼 수 없고 점점 차단되고 있기 때문에 슈퍼쿠키에 대해 너무 걱정할 필요가 없습니다. 반면에 좀비 쿠키/에버쿠키는 제거하기가 더 어렵습니다. 잘 알려진 많은 방법이 폐쇄되었지만 모든 단일 취약점이 패치될 때까지 잠재적으로 여전히 작동할 수 있으며 항상 새로운 기술을 제시할 수 있습니다.