एक नटखट पड़ोसी होने से आपका गुप्त नुस्खा कुकीज़ के आसपास का सबसे बड़ा गोपनीयता मुद्दा हुआ करता था, लेकिन यह इंटरनेट के लिए धन्यवाद बदल गया है। जबकि सामान्य ब्राउज़र कुकीज़ अक्सर सहायक और साफ़ करने में आसान होती हैं, ऐसे अन्य प्रकार भी होते हैं जो आपके आस-पास रहने और आप पर नज़र रखने के लिए बनाए जाते हैं। इनमें से दो प्रकार, सुपरकुकीज और जॉम्बी कुकीज (जिन्हें अक्सर "एवरकुकीज" कहा जाता है) से छुटकारा पाना विशेष रूप से कठिन हो सकता है। सौभाग्य से, उन पर किसी का ध्यान नहीं गया, और ब्राउज़र इन स्नीकर ट्रैकिंग तकनीकों का मुकाबला करने के लिए विकसित हो रहे हैं।
सुपरकुकी
यह शब्द थोड़ा भ्रमित करने वाला हो सकता है क्योंकि इसका उपयोग कई अलग-अलग तकनीकों का वर्णन करने के लिए किया गया है, जिनमें से केवल कुछ ही वास्तव में कुकीज़ हैं। सामान्य तौर पर, हालांकि, यह आपको एक विशिष्ट आईडी देने के लिए आपकी ब्राउज़िंग प्रोफ़ाइल को बदलने वाली किसी भी चीज़ को संदर्भित करता है। इस तरह वे कुकीज़ के समान कार्य करते हैं, साइटों और विज्ञापनदाताओं को आपको ट्रैक करने की अनुमति देते हैं, लेकिन कुकीज़ के विपरीत, उन्हें वास्तव में हटाया नहीं जा सकता।
आप अक्सर "सुपरकुकी" शब्द को यूनिक आइडेंटिफ़ायर हेडर्स (यूआईडीएच) के संदर्भ में और HTTP स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी, या एचएसटीएस में एक भेद्यता के रूप में उपयोग करते हुए सुनेंगे, हालांकि मूल शब्द कुकीज़ को संदर्भित करता है जो शीर्ष-स्तरीय डोमेन से उत्पन्न होते हैं। इसका मतलब है कि ".com" या ".co.uk" जैसे डोमेन के लिए एक कुकी सेट की जा सकती है, जिससे उस डोमेन प्रत्यय वाली कोई भी वेबसाइट इसे देख सके।
यदि Google.com एक सुपरकुकी सेट करता है, तो वह कुकी किसी अन्य ".com" वेबसाइट के लिए दृश्यमान होगी। यह एक स्पष्ट गोपनीयता समस्या है, लेकिन चूंकि यह अन्यथा एक पारंपरिक कुकी है, इसलिए लगभग सभी आधुनिक ब्राउज़र डिफ़ॉल्ट रूप से उन्हें ब्लॉक कर देते हैं। चूंकि अब कोई भी इस तरह की सुपरकुकी के बारे में ज्यादा बात नहीं करता है, आप आम तौर पर अन्य दो के बारे में अधिक सुनेंगे।
अद्वितीय पहचानकर्ता हैडर (यूआईडीएच)
एक विशिष्ट पहचानकर्ता हैडर आपके कंप्यूटर पर बिल्कुल भी नहीं है - यह आपके आईएसपी और वेबसाइट के सर्वर के बीच होता है। यहां बताया गया है:
- आप अपने ISP को एक वेबसाइट के लिए एक अनुरोध भेजते हैं।
- इससे पहले कि आपका ISP सर्वर को अनुरोध अग्रेषित करे, यह आपके अनुरोध के शीर्षलेख में एक विशिष्ट पहचानकर्ता स्ट्रिंग जोड़ता है।
- यह स्ट्रिंग साइटों को आपकी पहचान उसी उपयोगकर्ता के रूप में करने देती है जब भी आप जाते हैं, भले ही आपने उनकी कुकी हटा दी हों। एक बार जब वे जान जाते हैं कि आप कौन हैं, तो वे वही कुकीज़ सीधे आपके ब्राउज़र में डाल सकते हैं।
सरल शब्दों में, यदि कोई ISP UIDH ट्रैकिंग का उपयोग कर रहा है, तो यह आपके द्वारा देखी जाने वाली प्रत्येक वेबसाइट (या जिन लोगों ने इसके लिए ISP का भुगतान किया है) पर आपके व्यक्तिगत हस्ताक्षर भेज रहा है। यह ज्यादातर विज्ञापन राजस्व को अनुकूलित करने के लिए उपयोगी है, लेकिन यह काफी आक्रामक है कि FCC ने अपने ग्राहकों को इसके बारे में सूचित नहीं करने या उन्हें ऑप्ट आउट करने का विकल्प देने के लिए Verizon पर 1.35 मिलियन अमरीकी डालर का जुर्माना लगाया।
वेरिज़ोन के अलावा, बहुत अधिक डेटा नहीं है जिस पर कंपनियां यूआईडीएच जानकारी का उपयोग कर रही हैं, लेकिन उपभोक्ता प्रतिक्रिया ने इसे काफी अलोकप्रिय रणनीति बना दिया है। इससे भी बेहतर, यह केवल अनएन्क्रिप्टेड HTTP कनेक्शन पर काम करता है, और चूंकि अधिकांश वेबसाइटें अब डिफ़ॉल्ट रूप से HTTPS का उपयोग करती हैं और आप आसानी से HTTPS एवरीवेयर जैसे एक्सटेंशन डाउनलोड कर सकते हैं, यह सुपरकुकी वास्तव में अब कोई समस्या नहीं है और शायद इसका व्यापक रूप से उपयोग नहीं किया जा रहा है। यदि आप अतिरिक्त सुरक्षा चाहते हैं, तो वीपीएन का उपयोग करें। यह गारंटी देता है कि आपका अनुरोध आपके यूआईडीएच संलग्न किए बिना वेबसाइट पर भेज दिया जाएगा।
HTTPS स्ट्रिक्ट ट्रांसफर सिक्योरिटी (HSTS)
यह एक दुर्लभ प्रकार की सुपरकुकी है जिसे किसी विशेष साइट पर विशेष रूप से पहचाना नहीं गया है, लेकिन जाहिर तौर पर इसका शोषण किया जा रहा था, क्योंकि ऐप्पल ने हमले की पुष्टि की घटनाओं का हवाला देते हुए इसके खिलाफ सफारी को पैच किया था।
एचएसटीएस वास्तव में एक अच्छी बात है। यह आपके ब्राउज़र को असुरक्षित HTTP संस्करण के बजाय किसी साइट के HTTPS संस्करण पर सुरक्षित रूप से पुनर्निर्देशित करने देता है। दुर्भाग्य से, इसका उपयोग निम्न नुस्खा के साथ एक सुपरकुकी बनाने के लिए भी किया जा सकता है:
- बहुत सारे उप डोमेन बनाएं (जैसे "domain.com," "subdomain2.domain.com," आदि)।
- प्रत्येक आगंतुक को अपने मुख्य पृष्ठ पर एक यादृच्छिक संख्या निर्दिष्ट करें।
- उपयोगकर्ताओं को किसी पृष्ठ पर अदृश्य पिक्सेल में जोड़कर या पृष्ठ लोड करते समय प्रत्येक उप डोमेन के माध्यम से उपयोगकर्ता को पुनर्निर्देशित करके अपने सभी उप डोमेन लोड करने के लिए बाध्य करें।
- कुछ उप डोमेन के लिए, उपयोगकर्ता के ब्राउज़र को सुरक्षित संस्करण पर स्विच करने के लिए HSTS का उपयोग करने के लिए कहें। दूसरों के लिए, डोमेन को असुरक्षित HTTP के रूप में छोड़ दें।
- यदि किसी उप डोमेन की HSTS नीति चालू है, तो इसे "1" के रूप में गिना जाता है। यदि यह बंद है, तो इसे "0" के रूप में गिना जाता है। इस रणनीति का उपयोग करते हुए, साइट ब्राउज़र की HSTS सेटिंग में उपयोगकर्ता के रैंडम आईडी नंबर को बाइनरी में लिख सकती है।
- हर बार जब भी विज़िटर वापस आएगा, साइट उपयोगकर्ता के ब्राउज़र की HSTS नीतियों की जांच करेगी, जो उपयोगकर्ता की पहचान करते हुए, मूल रूप से जेनरेट किया गया वही बाइनरी नंबर लौटाएगी।
यह जटिल लगता है, लेकिन इसका मुख्य कारण यह है कि वेबसाइटें आपके ब्राउज़र को कई पृष्ठों के लिए सुरक्षा सेटिंग्स बनाने और याद रखने के लिए प्राप्त कर सकती हैं, और अगली बार जब आप जाते हैं, तो यह बता सकता है कि आप कौन हैं क्योंकि किसी और के पास सेटिंग्स का सटीक संयोजन नहीं है। ।
Apple पहले से ही इस समस्या के समाधान के साथ आया है, जैसे प्रति साइट केवल एक या दो मुख्य डोमेन नामों के लिए HSTS सेटिंग्स को सेट करने की अनुमति देना और उन जंजीर पुनर्निर्देशों की संख्या को सीमित करना जिन्हें साइटों को उपयोग करने की अनुमति है। अन्य ब्राउज़र इन सुरक्षा उपायों का पालन करने की संभावना रखते हैं (फ़ायरफ़ॉक्स गुप्त मोड मदद करता है), लेकिन चूंकि ऐसा होने की कोई पुष्टि नहीं हुई है, इसलिए यह अधिकांश के लिए सर्वोच्च प्राथमिकता नहीं है। आप कुछ सेटिंग्स में जाकर और HSTS नीतियों को मैन्युअल रूप से साफ़ करके मामलों को अपने हाथों में ले सकते हैं, लेकिन यह इसके बारे में है।
ज़ोंबी कुकीज़/एवरकुकीज़
ज़ोंबी कुकीज़ बिल्कुल वैसी ही होती हैं जैसी वे ध्वनि करती हैं - कुकीज़ जो आपके जाने के बाद जीवन में वापस आती हैं। आपने उन्हें "एवरकुकीज़" के रूप में संदर्भित देखा होगा, जो दुर्भाग्य से वोंका चिरस्थायी गोबस्टॉपर के बराबर कुकी नहीं हैं। "एवरकुकी" वास्तव में एक जावास्क्रिप्ट एपीआई है जिसे यह स्पष्ट करने के लिए बनाया गया है कि आपके हटाने के प्रयासों के आसपास कुकीज़ कितने अलग-अलग तरीकों से मिल सकती हैं।
ज़ोंबी कुकीज़ साफ़ नहीं होती हैं क्योंकि वे आपके नियमित कुकी भंडारण के बाहर छिपी होती हैं। स्थानीय भंडारण एक प्रमुख लक्ष्य है (एडोब फ्लैश और माइक्रोसॉफ्ट सिल्वरलाइट इसका बहुत उपयोग करते हैं), और कुछ एचटीएमएल 5 स्टोरेज भी एक मुद्दा हो सकता है। जीवित मृत कुकीज़ आपके वेब इतिहास में या आरजीबी रंग कोड में भी हो सकती हैं, जिसे आपका ब्राउज़र अपने कैश में अनुमति देता है। एक वेबसाइट को केवल छिपी हुई कुकीज़ में से एक को ढूंढना होता है और यह दूसरों को फिर से जीवित कर सकती है।
हालाँकि, इनमें से कई सुरक्षा छेद गायब हो रहे हैं। फ्लैश और सिल्वरलाइट आधुनिक वेब डिज़ाइन का एक बड़ा हिस्सा नहीं हैं, और कई ब्राउज़र अब अन्य एवरकुकी छिपने के स्थानों के लिए विशेष रूप से कमजोर नहीं हैं। चूंकि ऐसे कई अलग-अलग तरीके हैं जिनसे ये कुकीज़ आपके सिस्टम में अपना रास्ता बना सकती हैं, हालांकि, खुद को बचाने का कोई एक तरीका नहीं है। हालांकि, गोपनीयता एक्सटेंशन और अच्छी ब्राउज़र-समाशोधन आदतों का एक अच्छा सूट कभी भी एक बुरा विचार नहीं है!
रुको, क्या हम सुरक्षित हैं या नहीं?
ऑनलाइन ट्रैकिंग तकनीक शीर्ष पर एक निरंतर दौड़ है, इसलिए यदि गोपनीयता ऐसी चीज है जो आपको चिंतित करती है, तो आपको शायद इस विचार के अभ्यस्त हो जाना चाहिए कि हम ऑनलाइन 100% गुमनामी की गारंटी नहीं देते हैं।
आपको शायद सुपरकुकीज़ के बारे में बहुत अधिक चिंता करने की ज़रूरत नहीं है, हालाँकि, क्योंकि वे बहुत बार जंगली में नहीं देखी जाती हैं और तेजी से अवरुद्ध हो रही हैं। दूसरी ओर, ज़ोंबी कुकीज़/एवरकुकीज़ से छुटकारा पाना कठिन होता है। उनके कई और जाने-माने रास्ते बंद कर दिए गए हैं, लेकिन वे तब तक संभावित रूप से काम कर सकते हैं जब तक कि हर एक भेद्यता को ठीक नहीं कर दिया जाता, और वे हमेशा नई तकनीकों के साथ आ सकते हैं।