Missbrauch von ‚HTTP Strict Transport Security‘ (HSTS) Supercookies für cookieloses Tracking

Inhaltsverzeichnis

• Websites könnten eine Sicherheitsfunktion Ihres iPhone/iPad nutzen, um Ihr Browsing zu verfolgen, selbst wenn Sie den Browserverlauf löschen.
• Aktualisierung

Websites könnten eine Sicherheitsfunktion Ihres iPhone/iPad nutzen, um Ihr Browsing zu verfolgen, selbst wenn Sie den Browserverlauf löschen.

Es ist ein gut beobachteter Tipp, sicherzustellen, dass Sie eine sichere Verbindung verwenden, wann immer Sie eine Website besuchen, auf der Sie möglicherweise sensible oder persönliche Informationen teilen. Wenn Sie eine Website mit einer sicheren Verbindung besuchen, zeigt Ihr Webbrowser ein Vorhängeschloss-Symbol an. Das Symbol zeigt an, dass Ihre Verbindung zur Seite verschlüsselt ist und nicht gestört oder abgefangen werden kann.

Demonstration

`` …
Dies ist ein einzigartiger Wert, der von JavaScript auf dieser Seite generiert wurde. Die Seite versucht, diesen Wert in Ihrem Webbrowser zu speichern und ihn erneut zu lesen, wenn Sie die Seite in der Zukunft besuchen. Verschiedene Webbrowser verhalten sich nicht genau gleich. Um zu sehen, wie Ihr Browser funktioniert, versuchen Sie diese Tests und sehen Sie, ob der Wert gleich bleibt: - Aktualisieren Sie die Seite. - Öffnen Sie dieselbe Webadresse in einem „privaten“/„inkognito“ Fenster. - Löschen Sie Ihre Browser-Cookies und aktualisieren Sie die Seite. - Besuchen Sie die Seite auf einem anderen iOS-Gerät, das mit demselben iCloud-Konto synchronisiert ist. Wenn der Wert während eines dieser Schritte gleich bleibt, könnte diese Technik verwendet werden, um Ihre Browsing-Gewohnheiten zu verfolgen. Dies ist ein einzigartiger Wert, der von JavaScript auf dieser Seite generiert wurde. Die Seite versucht, diesen Wert in Ihrem Webbrowser zu speichern und ihn erneut zu lesen, wenn Sie die Seite in der Zukunft besuchen. Eine Sicherheitsfunktion moderner Webbrowser namens „HTTP Strict Transport Security“ (HSTS) ermöglicht es einer Website, anzuzeigen, dass sie immer über eine sichere Verbindung aufgerufen werden sollte. Wenn Sie eine Seite besuchen, die HSTS aktiviert hat, wird Ihr Webbrowser dieses Flag speichern und sicherstellen, dass die Verbindung jedes Mal, wenn Sie die Website in der Zukunft besuchen, sicher ist. Nachfolgende Besuche der Seite ohne Verwendung einer sicheren Verbindung werden automatisch vom Webbrowser auf die sichere Variante der Webadresse umgeleitet, beginnend mit https:// Diese automatische Umleitung schützt Ihren Zugriff auf die Seite vor dem Abfangen, könnte jedoch auch von einer bösartigen Seite missbraucht werden, um eine eindeutige Nummer zu speichern, um Ihren Webbrowser zu verfolgen. Eine Nummer kann als eine Reihe von Bits (wahr und falsch Werte) kodiert und gespeichert werden, indem auf eine Reihe von Webadressen zugegriffen wird. Jede Webadresse antwortet mit HSTS aktiviert oder deaktiviert, je nach Adresse. Sobald die Nummer gespeichert ist, könnte sie in Zukunft von anderen Seiten gelesen werden. Das Lesen der Nummer erfordert nur, zu testen, ob Anfragen für dieselben Webadressen umgeleitet werden oder nicht. Die Verwendung von HSTS zur Verfolgung Ihrer Browsing-Gewohnheiten umgeht die Funktionen von Webbrowsern, die dazu gedacht sind, normalere „Cookie“-basierte Tracking-Mechanismen zu steuern. Die Verwendung von „inkognito“ oder „privaten“ Modi bedeutet, dass vorhandene Cookies nicht mit den besuchten Seiten geteilt werden. Browser ermöglichen es Ihnen auch, Cookies vollständig zu löschen, die verwendet werden könnten, um Sie zu verfolgen. Da HSTS eine Sicherheitsfunktion ist und nicht zum Tracking verwendet werden soll, behandeln Webbrowser es anders als Cookies. Nur durch absichtliche Fehlanwendung kann HSTS ausgenutzt werden, um Benutzer zu verfolgen. Einige Browser wie Google Chrome, Firefox und Opera mildern das Problem. Das Löschen von Cookies in diesen Browsern löscht auch HSTS-Flags, sodass jeder gespeicherte Wert gelöscht wird. Allerdings werden im Gegensatz zu Cookies vorhandene HSTS-Flags weiterhin mit Seiten geteilt, wenn „inkognito“ oder „private“ Fenster verwendet werden. Die Auswirkung ist, dass es möglich ist, dass eine Seite Sie verfolgt, selbst wenn Sie sich entscheiden, „inkognito“ oder „private“ Browsing-Funktionen zu verwenden, um solches Tracking zu vermeiden. Deutlich besorgniserregender ist das Verhalten von Safari, dem Standardbrowser für iPad und iPhone. Wenn Sie Safari auf einem Apple-Gerät verwenden, scheint es keine Möglichkeit zu geben, dass HSTS-Flags vom Benutzer gelöscht werden können. HSTS-Flags werden sogar mit dem iCloud-Dienst synchronisiert, sodass sie wiederhergestellt werden, wenn das Gerät gelöscht wird. In diesem Fall kann das Gerät effektiv mit einem unauslöschlichen Tracking-Wert „markiert“ werden, den Sie nicht entfernen können. Eine bemerkenswerte Ausnahme ist Internet Explorer, der keine Unterstützung für HSTS hat (obwohl es zum Zeitpunkt des Schreibens in Entwicklung ist), sodass er nicht anfällig für diese Technik ist. Ich dachte zunächst, dass dies kein Weg war, der zuvor erkundet wurde. Allerdings schrieb Mikhail Davidov im April 2012 über den potenziellen Missbrauch von HSTS, obwohl ich mir keiner direkten Reaktion der Browseranbieter auf seine Beobachtungen bewusst bin. Ich bin mir nicht bewusst, dass die Technik verwendet wird, um Benutzer in der Wildnis zu verfolgen, obwohl das nicht bedeutet, dass sie es nicht ist. Ich möchte die restliche technische Gemeinschaft kontaktieren, um zu überlegen, wie dies gemildert werden könnte, während gleichzeitig so viel Wert wie möglich aus HSTS gewonnen wird. Wenn Sie bezüglich dieser Informationen Kontakt aufnehmen möchten, senden Sie mir bitte eine E-Mail an [email protected]. ## Aktualisierung 4. Januar 2015 Mitglieder des Google Chrome-Sicherheitsteams waren so freundlich, die Diskussionen hervorzuheben, die zu einer Reihe von Patches und Rückgängen im Chromium-Code geführt haben, um die Auswirkungen des Problems, das dieser Artikel demonstriert, zu mildern. Sie können hier und hier mehr lesen. Letztendlich kommen sie zu dem Schluss, dass es einen notwendigen Kompromiss zwischen Sicherheit und Privatsphäre gibt. Die Chromium-Sicherheits-FAQ besagt weiter, dass „das Überwinden solcher Fingerabdrücke wahrscheinlich nicht praktikabel ist, ohne grundlegende Änderungen daran, wie das Web funktioniert“. Die technische Analyse von Client-Identifikationsmechanismen spricht über die Möglichkeit dieser Technik, zusammen mit vielen anderen, und sagt: „Im Versuch, Sicherheit und Privatsphäre in Einklang zu bringen, werden alle HSTS-Pins, die während des normalen Surfens gesetzt werden, in den Inkognito-Modus in Chrome übertragen; es gibt jedoch keine Ausbreitung in die entgegengesetzte Richtung.“ Dieser Artikel wurde mit Genehmigung von Sam Greenhalgh in vollem Umfang veröffentlicht. Sie können den gesamten Artikel auch auf Radical Research lesen.