Существует один неочевидный способ отслеживания пользователей без использования кук и даже JavaScript. Им уже пользуется множество сайтов, но немногие знают о нём. Эта страница объясняет, как это работает и как обезопасить себя.

Этот метод отслеживания работает без необходимости использовать:

• Куки
• JavaScript
• Локальное хранилище браузера / Глобальное хранилище браузера / Веб хранилище [HTML 5]
• Flash, Java и другие дополнения
• Ваш IP-адрес или строку User-Agent
• Методики, применяемые Panopticlick

Вместо этого метод использует другой способ хранения, который сохраняет информацию между перезапусками браузера: кэширование.

Даже когда вы полностью отключили куки, JavaScript и используете VPN-подключение, эта техника всё-равно будет позволять отслеживать вас.

Как это работает

ETag, представленный на схеме – это своего рода контрольная сумма. Когда изображение изменяется, изменяется и контрольная сумма. Поэтому, когда в браузере загружено изображение и браузер знает контрольную сумму, он может отправить её на сервер для проверки. Веб-сервер, затем проверяет, изменилось ли изображение. Если нет – то нет необходимости передавать изображения, что позволяет экономить траффик.

Внимательные читатели уже могли догадаться, как это можно использовать, чтобы отслеживать посетителей: браузер отправляет информацию, которую он получил ранее (ETag), обратно на сервер. Это ужасно похоже на механизм кук, не так ли? Сервер может просто выдавать каждому браузеру уникальный ETag, и, когда они соединяются снова, просто находить в своей базе данных.

Как обезопасить себя?

Одна вещь, которую я настоятельно рекомендую вам делать каждый раз, когда вы посещаете страницу, на которой вы хотели бы иметь бо́льшую безопасность – открывать окно браузера в режиме инкогнито и использовать только HTTPS. Выполнение этого правила исключает возможность применения такой атаки как Breach (последний хак HTTPS), отключает все куки-маяки, которые вам могут установить, а также блокирует отслеживание с помощью кэша. Я использую такой режим, когда я работаю в онлайн-банкинге. В Firefox (и я думаю MSIE тоже) это Ctrl + Shift + P, в Chrome – это Ctrl+Shift+N.

Кроме того, это зависит от уровня вашей паранойи.

У меня в настоящее время нет однозначного ответа, так как отслеживание с помощью кэша практически невозможно обнаружить, но и потому, что кэширование само по себе полезно и позволяет людям (включая Вас) сохранить время и деньги […]

Если вы параноик, то лучше просто полностью отключить кэширование. Это исключит возможность подобного отслеживания, но лично я не считаю, что это того стоит.

Дополнение Self-Destructing Cookies для Firefox может очищать кэш, когда вы не используете ваш браузер какое-то время. Это может быть приемлемой альтернативой полному отключению кэша; вас можно будет отследить во время вашего визита, и они могут делать это в любом случае, ведя учёт посещения страниц с IP-адреса, так что, это не страшно. Все последующие визиты будут считаться визитами другого пользователя, при том условии, что возможность отслеживания с помощью других методов была предотвращена.

Я не слышал о дополнениях, которые периодически удаляли бы кэш (например, раз в 72 часа), но, возможно, они существуют. Это было бы ещё одной хорошей альтернативой для 99% пользователей, поскольку такой подход имеет относительно низкое влияние на производительность и в то же время ограничивает возможность для отслеживания.

Обновление: Я [автор оригинального текст, не переводчик] узнал о том, что дополнение для Firefox, которое называется SecretAgent, выполняет перезапись ETag, чтобы предотвратить такой метод отслеживания. Вы можете составлять белый список сайтов, чтобы включать кэширование на них и в то же время блокировать отслеживание на других доменах. Было подтверждено, что это дополнение предотвращает отслеживание.

Исходный код

https://github.com/lucb1e/cookielesscookies