¿Cómo saber si un ISP agrega una cookie permanente a mis solicitudes?

Navega tus respuestas
7

Me interesa saber si mi ISP (o proveedor de servicios de Internet) actual (o cualquier otro) utiliza una tecnología conocida como "cookie perma" o "cookie pegajosa" cuando estoy navegando por Internet.

Esto consiste en insertar un encabezado HTTP especial en cada solicitud HTTP enviada a través de su red. Permitiría que el sitio visitado identifique de forma única a un usuario (hogar / cliente de ISP) y, con la ayuda del ISP, obtenga información personal específica sobre ese usuario.

Verizon y AT & T en los Estados Unidos son conocidos actualmente por hacer esto, de acuerdo con los siguientes artículos:

No estoy ubicado en los EE. UU., por lo que este caso específico no se aplica a mí. Sin embargo, ¿cómo puedo saber si mi ISP (o cualquier otro) está utilizando dichas cookies? ¿Hay alguna otra página de prueba (internacional)?

Nota: no estoy hablando de evercookie .

Nota2: Si alguno de los mods piensa que esto no es un tema debido a la solicitud de páginas de prueba (fuera del sitio), siéntase libre de eliminar esa parte y esta nota. Estoy interesado principalmente en cómo averiguar en general.

    
pregunta Marcel 05.12.2014 - 08:55
fuente

2 respuestas

6

Envíe una solicitud a un servidor que controle y vea que se modificó durante el transporte; También puede usar un servicio en línea como HTTPBin , está diseñado para probar bibliotecas de clientes HTTP y tiene páginas que devuelven el contenido exacto de la solicitud, por lo que verá si se agregaron cookies adicionales.

Tenga en cuenta que los proveedores de servicios de Internet (ISP, por sus siglas en inglés) pueden ser sigilosos al respecto y solo agregar las cookies en las solicitudes a los sitios web de sus socios, en este caso, no veo una forma fácil de detectar esto sin tener acceso a los servidores de sus socios, sino una forma confiable mitigar esto sería utilizar HTTPS, que evita ataques MITM como el que usted describe.

Para los sitios HTTP, deberá pasar su tráfico a través de un túnel cifrado (¿IPSec?) a un servidor detrás de un ISP confiable y respetuoso.

    
respondido por el user42178 05.12.2014 - 13:52
fuente
2

Para abordar el punto del usuario 42178 en su respuesta:

  

Tenga en cuenta que los ISP pueden ser sigilosos al respecto y solo agregar las cookies en   solicitudes a los sitios web de sus socios, en este caso no veo una fácil   forma de detectar esto sin tener acceso a los servidores de sus socios

Podría intentar usar métodos legales donde los métodos de TI fallan. En el Reino Unido existe la Ley de protección de datos , que tiene versiones similares en toda la UE .

Bajo la Ley de Protección de Datos, puede hacer un Solicitud de acceso del sujeto a cualquier organización que tenga datos sobre usted. Pueden cobrarle un máximo de £ 10 por la solicitud y deben responder dentro de los 40 días. Una "cookie perma" como la describió casi con certeza estaría dentro de esta ley, ya que le identifica personalmente. Es probable que pueda enviar dichas solicitudes tanto al ISP como a la empresa que aloja el servidor, siempre que estén dentro de la jurisdicción de la UE.

Tenga en cuenta que los datos almacenados en la cookie no tienen que ser capaces de identificarlo personalmente para que usted pueda solicitarla. Es suficiente que esté vinculado a su nombre a través de otros datos. Por ejemplo, si pueden vincular la cookie a su dirección IP (es probable), y tener un registro de a qué clientes han asignado una dirección IP (casi seguro), entonces la cookie es información personal y usted tiene derecho a solicitarla. .

De la sección ICO "Determinar qué es información personal" booklet :

  

1 Identificabilidad

     

¿Se puede identificar a un individuo vivo a partir de la   datos, o, a partir de los datos y otra información en posesión de,   ¿O es probable que entre en posesión del controlador de datos?

    
respondido por el Jon Bentley 20.12.2015 - 18:24
fuente

Lea otras preguntas en las etiquetas

Exploración de puertos: definición de estados Estado actual de BREACH (GZIP SSL Attack)?