我有兴趣了解我(或任何)当前的 ISP(互联网服务提供商)在我浏览互联网时是否使用了一种称为“永久 cookie”或“粘性 cookie”的技术。
这包括在通过其网络发送的每个 HTTP 请求中插入一个特殊的 HTTP 标头。它将允许访问的站点唯一地识别用户(家庭/ISP 客户),并在 ISP 的帮助下,获取有关该用户的特定个人信息。
根据以下文章,美国的 Verizon 和 AT&T 目前以这样做而闻名:
我不在美国,所以这个具体案例不适用于我。但是,我如何才能知道我的(或任何)ISP 是否在使用此类 cookie?还有其他(国际)测试页吗?
注意:我不是在谈论evercookie。
注意2:如果任何模组因为(场外)测试页面的要求而认为这是题外话,请随时删除该部分和此注释。我最感兴趣的是如何找到一般情况。
向您控制的服务器发送请求,并查看它在传输过程中被更改;您还可以使用HTTPBin之类的在线服务,它旨在测试 HTTP 客户端库,并具有返回确切请求内容的页面,因此您将看到是否添加了额外的 cookie。
请注意,ISP 可能会对此偷偷摸摸,只将 cookie 添加到其合作伙伴网站的请求中,在这种情况下,我看不到一种简单的方法来检测这种情况而无需访问其合作伙伴的服务器,但一种可靠的方法可以缓解这种情况是使用 HTTPS 来防止像您描述的那样的 MITM 攻击。
对于 HTTP 站点,您需要通过加密(IPSec?)隧道将流量传递到可靠且受人尊敬的 ISP 后面的服务器。
为了解决 user42178 在他的回答中的观点:
请注意,ISP 可能会对此偷偷摸摸,只将 cookie 添加到其合作伙伴网站的请求中,在这种情况下,我看不到一种简单的方法来检测这一点而无需访问其合作伙伴的服务器
您可以尝试在 IT 方法失败的情况下使用合法方法。在英国有数据保护法,在整个欧盟都有类似的版本。
根据《数据保护法》,您可以向任何持有您数据的组织提出主题访问请求。他们可能会针对该请求向您收取最多 10 英镑的费用,并且必须在 40 天内回复。您所描述的“永久 cookie”几乎可以肯定属于该法律,因为它可以识别您的个人身份。您可能会向 ISP 和托管服务器的公司发送此类请求,前提是它们在欧盟的管辖范围内。
请注意,存储在 cookie 中的数据本身不必能够识别您的个人身份,以便您能够请求它。通过其他数据将其链接到您的姓名就足够了。例如,如果他们可以将 cookie 链接到您的 IP 地址(很可能),并且记录了他们为哪个客户分配了 IP 地址(几乎可以肯定),那么 cookie 是个人数据,您有权请求它.
1 可识别性
能否从数据或数据控制者拥有或可能拥有的数据和其他信息中识别在世的个人?