Bir güvenlik araştırmacısı, kullanıcılar bilgisayarlarındaki çerez depolama (cookie storage) özelliğini devre dışı bıraksa ve tarayıcılarındaki gizlilik modunu aktive etse dahi 500’ün üzerindeki web sitesindeki ziyaretçilerin takibini sağlayan bir yöntemin varlığını keşfetti. Söz konusu yöntemin bazı web analiz firmaları tarafından kullanılmakta olduğu iddia ediliyor.
Ashkan Soltani adındaki güvenlik araştırmacısının açıkladığı bilgilere göre söz konusu yöntem Hulu, Spotify ve GigaOm gibi pek çok site tarafında kullanılabiliyor. KISSmetrics adlı web analizi servisinin de bu yöntemin sağlayıcısı durumunda olduğu ve kullanıcılar bilgisayarlarındaki çerez depolama özelliğini devre dışı bıraksa ve tarayıcılarındaki gizlilik modunu aktive etse dahi aralarında Hulu, Spotify, GigaOm gibi sitelerin bulunduğu 500’ün üzerindeki web sitesindeki ziyaretçilerin davranışlarını takip edebildiği iddia edilmekte. Söz konusu yöntem silinmiş çerezleri geri yükleyebildiği gibi, birden fazla tarayıcıdaki web geçmişini de tek bir dosyada derleyebiliyor.
KISSmetrics firması söz konusu buluş akademik bir yayında kendisine yer bulunca hemen internet üzerinden bir açıklama yayınladı ve kendisini savundu. Firmanın CEO’su söz konusu araştırmanın KISSmetrics teknolojisini ve uygulama alanını ciddi bir biçimde çarpıtarak yansıttığını ileri sürüyor. Firma ayrıca KISSmetrics’in takibini istemeyen tüm ziyaretçileri için son tüketici düzeyinde bir opt-out (katılmama seçeneği) hizmeti verdiklerini ileri sürmekte.
Araştırmayı yürüten Ashkan Soltani, ise KISSmetrics firmasının mahremiyet politikasını yeni güncellediğini ve bu politikanın net olarak kullanıcılara nasıl bir opt-out seçeneği sunduğunu açıklayamadığını ileri sürmekte. Soltani ayrıca yaptığı çalışmanın “respawn” adı verilen çerez diriltme yöntemi üzerine 2009’da yürütülen bir çalışmaya devam niteliği taşıdığını ve firmalardan herhangi bir destek göremediği için de çalışmasında bazı eksiklikler veya hatalar bulunabileceğini itiraf etmekte.
Soltani tarafından keşfedilen yöntemin kalbinde ETag değeri olarak adlandırılan benzersiz bir işaretçiyi tarayıcıdaki cache veya metadata klasörlerine yerleştirmek yatmakta. Bu sayede kissmetrics.com üzerinde host edilen bir JavaScript kodu, kullanıcı KISSmetrics’in kullanıldığı herhangi bir web sitesini her ziyaret edişinde seri numarasına ulaşarak çerezleri yeniden diriltiyor ve kullanıcının davranış bilgilerine erişiyor.
Soltani söz konusu yöntemin son derece etkin olduğuna dikkat çekmekte ve kullanıcıların KISSmetrics benzeri takip araçlarından kurtulmasının tek yolunu tüm çerezleri bloke etmek ve her web sitesi ziyareti ardından cache dosyasını temizlemek olarak vermekte. Soltani’nin çalışmasıyla ilgili teknik detaylar RESPAWN REDUX adresinden incelenebilir.
Kaynak : 