"Super cookies" może śledzić cię nawet w trybie przeglądania prywatnego, naukowiec mówi

Jeśli jest coś, co uwielbiają strony internetowe, to śledzenie ich użytkowników. Wygląda na to, że niektóre przeglądarki mogą być śledzone nawet w trybie prywatnym lub incognito. Sam Greenhalgh z RadicalResearch z siedzibą w Wielkiej Brytanii opublikował niedawno post na blogu z koncepcją "Super Cookies HSTS". Greenhalgh pokazuje, jak podstępna strona internetowa mogłaby nadal śledzić użytkowników online, nawet jeśli włączyli oni opcję maskowania prywatności.

Kluczem do exploita jest użycie protokołu HTTP Strict Transport Security (HSTS) dla czegoś, na co nie było przeznaczone. HSTS to nowoczesna funkcja internetowa, która pozwala stronie internetowej powiedzieć przeglądarce, że powinna łączyć się tylko z witryną za pośrednictwem zaszyfrowanego połączenia.

Załóżmy na przykład, że John wpisuje SecureSite.com w swojej przeglądarce z włączoną opcją HSTS. Serwery SecureSite mogą następnie odpowiadać przeglądarce John's, że powinna ona łączyć się tylko z SecureSite przez HTTPS. Odtąd wszystkie połączenia z SecureSite z przeglądarki Johna będą domyślnie korzystać z HTTPS.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Problem z Greenhalgh polega na tym, że HSTS działa Twoja przeglądarka musi przechowywać dane o stronach, z którymi musi się połączyć za pośrednictwem HTTPS. Ale te dane można zmanipulować, aby odcisnąć palcem określoną przeglądarkę. A ponieważ HSTS jest funkcją bezpieczeństwa, większość przeglądarek utrzymuje ją zarówno w trybie prywatnym, jak i normalnym - co oznacza, że ​​po pobraniu odcisków palców w przeglądarce można śledzić, nawet jeśli przeglądarka działa w trybie incognito.

Nawet pod osłoną Tryb incognito, HSTS Super-Cookies nadal umożliwiają śledzenie przeglądarek.

W trybie przeglądania prywatnego lub incognito (czasami określanego jako "tryb pornograficzny") przeglądarka nie zapisuje danych, takich jak pliki cookie i historię przeglądania, po zakończeniu sesji przeglądania prywatnego - Bez względu na to, że jest to oszukiwane przez Super Cookie.

Historia kryjąca się za tą historią: Chociaż blog na blogu Greenhalgha zyskuje na popularności, ludzie już od jakiegoś czasu rozmawiają o kompromisach w zakresie prywatności i bezpieczeństwa HSTS. Zespół Chromium, który tworzy przeglądarkę open source, na której oparty jest Chrome, omawiał tę kwestię już w 2011 r. W 2012 r. Firma Leviathan zajmująca się bezpieczeństwem opublikowała blog podnoszący podobne obawy, a Robert "RSnake" Hansen poruszył problem na swoim blogu ha.ckers.org w 2010 roku.

Ochrona siebie

Chociaż ten problem był znany od jakiegoś czasu, nie jest jasne, czy któreś strony faktycznie wykorzystują tę słabość do śledzenia użytkowników. Niezależnie od tego możesz zabezpieczyć się w Chrome, usuwając pliki cookie przed przejściem do trybu incognito. Chrome automatycznie opróżnia bazę danych HSTS za każdym razem, gdy usuniesz pliki cookie. Firefox robi coś podobnego, ale Greenhalgh twierdzi, że najnowsza wersja Firefoksa rozwiązała ten problem, uniemożliwiając przejście ustawień HSTS w tryb przeglądania prywatnego.

Safari jest jednak większym problemem, ponieważ najwyraźniej nie ma oczywistego sposobu na usunięcie HSTS baza danych na urządzeniach Apple takich jak iPad lub iPhone, mówi Greenhalgh. Flagi HSTS są również zsynchronizowane z iCloud, dzięki czemu śledzenie HSTS Super Cookie jest jeszcze bardziej trwałe (przynajmniej teoretycznie) przy użyciu sprzętu Apple.

Super Cookies HSTS działają tylko wtedy, gdy po raz pierwszy odwiedzasz stronę w trybie nieprywatnym. Każdy, kto odwiedza witrynę po raz pierwszy w trybie prywatnym, nie przenosi superplikatora HSTS do regularnego przeglądania.

Jeśli chodzi o użytkowników Internet Explorera, dobrą wiadomością jest to, że jesteś całkowicie chroniony przed tego typu śledzeniem! Teraz zła wiadomość: To dlatego, że IE w ogóle nie obsługuje HSTS.

[via Ars Technica]