Come scoprire se un ISP aggiunge un perma-cookie alle mie richieste?

Naviga le tue risposte
7

Sono interessato a scoprire se il mio (o qualsiasi) attuale ISP (Internet Service Provider) utilizza una tecnologia nota come "perma-cookie" o "cookie appiccicoso" quando sto navigando in Internet.

Questo consiste nell'inserire una speciale intestazione HTTP in ogni richiesta HTTP inviata tramite la loro rete. Permetterebbe al sito visitato di identificare in modo univoco un utente (cliente domestico / ISP) e, con l'aiuto dell'ISP, ottenere informazioni personali specifiche su quell'utente.

Verizon e AT & T negli Stati Uniti sono attualmente noti per fare ciò, secondo i seguenti articoli:

Non sono negli Stati Uniti, quindi questo caso specifico non si applica a me. Tuttavia, come posso sapere se il mio (o altro) ISP sta utilizzando tali cookie? Ci sono altre pagine di prova (internazionali)?

Nota: non sto parlando di evercookie .

Nota2: Se qualcuno dei mod ritiene che questo sia fuori tema a causa della richiesta di pagine di test (off-site), sentitevi liberi di rimuovere quella parte e questa nota. Sono principalmente interessato a come scoprirlo in generale.

    
posta Marcel 05.12.2014 - 08:55
fonte

2 risposte

6

Invia una richiesta a un server che controlli e vedrai che è stata modificata durante il trasporto; potresti anche utilizzare un servizio online come HTTPBin , progettato per testare le librerie client HTTP e ha pagine che restituiscono il contenuto esatto della richiesta, quindi vedrai se sono stati aggiunti cookie aggiuntivi.

Si noti che gli ISP possono essere trascuriosi di ciò e aggiungere i cookie solo nelle richieste ai siti Web dei loro partner, in questo caso non vedo un modo semplice per rilevare ciò senza accedere ai server dei loro partner, ma un modo affidabile di attenuando questo sarebbe utilizzare HTTPS che previene attacchi MITM come quello che descrivi.

Per i siti HTTP dovrai passare il tuo traffico attraverso un tunnel crittografato (IPSec?) verso un server dietro un ISP affidabile e rispettoso.

    
risposta data 05.12.2014 - 13:52
fonte
2

Per indirizzare il punto dell'utente42178 nella sua risposta:

Note that ISPs can be sneaky about this and only add the cookies in requests to their partner's websites, in this case I don't see an easy way to detect this without getting access to their partner's servers

Potresti provare a utilizzare metodi legali in cui i metodi IT falliscono. Nel Regno Unito c'è la Legge sulla protezione dei dati , che ha versioni simili in tutta l'UE .

Ai sensi della legge sulla protezione dei dati, puoi fare un Subject Access Request a qualsiasi organizzazione che detiene dati su di te. Possono addebitarti un massimo di £ 10 per la richiesta e devono rispondere entro 40 giorni. Un "perma-cookie", come hai descritto, quasi sicuramente ricade in questa legge in quanto ti identifica personalmente. Probabilmente potresti inviare tali richieste sia all'ISP che alla società che ospita il server, a condizione che siano all'interno della giurisdizione dell'UE.

Nota che i dati memorizzati nel cookie non devono essere in grado di identificarti personalmente per poterlo richiedere. È sufficiente che sia collegato al tuo nome tramite altri dati. Ad esempio, se possono collegare il cookie al tuo indirizzo IP (probabile) e avere una registrazione di quale cliente hanno assegnato un indirizzo IP (quasi certo), allora i cookie sono dati personali e hai il diritto di richiederlo .

Dai ICO "Determinare quali sono i dati personali" booklet :

1 Identifiability

Can a living individual be identified from the data, or, from the data and other information in the possession of, or l ikely to come into the possession of, the data controller?

    
risposta data 20.12.2015 - 18:24
fonte

Leggi altre domande sui tag

È sicuro archiviare le password di firma APK nel repository git privato? Vantaggi della revisione del codice protetto in-IDE rispetto a app grassa e app web