Abusare dei ‘HTTP Strict Transport Security’ (HSTS) supercookies per il tracciamento senza cookie

Table Of Contents

• I siti web potrebbero utilizzare una funzione di sicurezza del tuo iPhone/iPad per tracciare la tua navigazione anche se cancelli la cronologia del browser.
• Aggiornamento

I siti web potrebbero utilizzare una funzione di sicurezza del tuo iPhone/iPad per tracciare la tua navigazione anche se cancelli la cronologia del browser.

È un consiglio ben noto assicurarsi di utilizzare una connessione sicura ogni volta che visiti un sito web dove potresti condividere informazioni sensibili o personali. Quando visiti un sito web con una connessione sicura, il tuo browser web visualizza un’icona a forma di lucchetto. L’icona indica che la tua connessione al sito è crittografata e non può essere interferita o intercettata.

Dimostrazione

`` …
Questo è un valore unico che è stato generato da JavaScript in questa pagina. La pagina tenta di memorizzare questo valore nel tuo browser web e leggerlo di nuovo quando visiti la pagina in futuro. I diversi browser web non si comportano esattamente allo stesso modo. Per vedere come si comporta il tuo browser, prova questi test e verifica se il valore rimane lo stesso: - Aggiorna la pagina. - Apri lo stesso indirizzo web in una finestra “privata”/”incognito”. - Cancella i cookie del tuo browser e aggiorna la pagina. - Visita la pagina su un dispositivo iOS diverso, sincronizzato con lo stesso account iCloud. Se il valore rimane lo stesso durante uno di questi passaggi, questa tecnica potrebbe essere utilizzata per tracciare le tue abitudini di navigazione. Questo è un valore unico che è stato generato da JavaScript in questa pagina. La pagina tenta di memorizzare questo
valore nel tuo browser web e leggerlo di nuovo quando visiti la pagina in futuro. Una funzione di sicurezza dei moderni browser web chiamata “HTTP Strict Transport Security” (HSTS) consente a un sito web di indicare che dovrebbe sempre essere accessibile utilizzando una connessione sicura. Se visiti un sito che ha HSTS abilitato, il tuo browser web ricorderà questo flag e garantirà che la connessione sia sicura ogni volta che visiti il sito web in futuro. Le visite successive al sito senza utilizzare una connessione sicura vengono automaticamente reindirizzate dal browser web alla variante sicura dell’indirizzo web, iniziando con https:// Questo reindirizzamento automatico protegge il tuo accesso al sito dall’essere intercettato, ma potrebbe anche essere abusato da un sito malevolo per memorizzare un numero unico per tracciare il tuo browser web. Un numero può essere codificato come una serie di bit (valori veri e falsi) e memorizzato accedendo a un insieme di indirizzi web. Ogni indirizzo web risponde con HSTS abilitato o disabilitato a seconda dell’indirizzo. Una volta memorizzato, il numero potrebbe essere letto da altri siti in futuro. Leggere il numero richiede solo di testare se le richieste per gli stessi indirizzi web vengono reindirizzate o meno. Utilizzare HSTS per tracciare le tue abitudini di navigazione elude le funzionalità dei browser web progettate per controllare meccanismi di tracciamento più normali basati su “cookie”. Utilizzare le modalità “incognito” o “private” significa che i cookie esistenti non verranno condivisi con i siti che visiti. I browser ti consentono anche di eliminare completamente i cookie che potrebbero essere utilizzati per tracciarti. Poiché HSTS è una funzione di sicurezza e non è destinata ad essere utilizzata per il tracciamento, i browser web la trattano in modo diverso dai cookie. È solo attraverso un’applicazione intenzionale errata che HSTS può essere sfruttato per tracciare gli utenti. Alcuni browser come Google Chrome, Firefox e Opera mitigano il problema. Cancellare i cookie su questi browser cancella anche i flag HSTS, quindi qualsiasi valore memorizzato verrà eliminato. Tuttavia, a differenza dei cookie, i flag HSTS esistenti vengono comunque condivisi con i siti quando si utilizzano finestre “incognito” o “private”. L’impatto è che è possibile per un sito tracciarti anche se scegli di utilizzare le funzionalità di navigazione “incognito” o “private” nel tentativo di evitare tale tracciamento. È notevolmente più preoccupante il comportamento mostrato da Safari, il browser predefinito per iPad e iPhone. Quando si utilizza Safari su un dispositivo Apple, sembra non esserci modo per l’utente di cancellare i flag HSTS. I flag HSTS vengono persino sincronizzati con il servizio iCloud, quindi verranno ripristinati se il dispositivo viene ripristinato. In questo caso, il dispositivo può essere effettivamente “marchiato” con un valore di tracciamento indelebile che non hai modo di rimuovere. Un’eccezione notevole è Internet Explorer, che non ha supporto per HSTS (anche se è in fase di sviluppo al momento della scrittura) quindi non è vulnerabile a questa tecnica. Inizialmente pensavo che questa non fosse una strada che era stata precedentemente esplorata, tuttavia Mikhail Davidov ha scritto sul potenziale abuso di HSTS nell’aprile 2012, anche se non sono a conoscenza di alcuna risposta diretta alle sue osservazioni da parte dei fornitori di browser. Non sono a conoscenza che la tecnica venga utilizzata per tracciare gli utenti nel mondo reale, anche se ciò non significa che non lo sia. Vorrei contattare il resto della comunità tecnica per considerare come questo potrebbe essere mitigato pur estraendo il maggior valore possibile da HSTS. Se desideri metterti in contatto riguardo a queste informazioni, ti prego di inviarmi un’email a [email protected]. ## Aggiornamento 4 gennaio 2015 I membri del team di sicurezza di Google Chrome sono stati così gentili da evidenziare le discussioni che hanno portato a una serie di patch e ripristini alla base di codice di chromium nel tentativo di mitigare gli effetti del problema che questo articolo dimostra. Puoi leggere di più qui e qui Alla fine concludono che c’è un compromesso necessario tra sicurezza e privacy. Le FAQ sulla sicurezza di chromium continuano dicendo che “sconfiggere tale fingerprinting è probabilmente impraticabile senza cambiamenti fondamentali a come funziona il Web”. L’analisi tecnica dei meccanismi di identificazione dei client parla della possibilità di questa tecnica, insieme a molte altre, dicendo “Nel tentativo di bilanciare sicurezza e privacy, qualsiasi pin HSTS impostato durante la navigazione normale viene trasferito alla modalità incognito in Chrome; non c’è però propagazione nella direzione opposta.” Questo articolo è stato pubblicato con il permesso di Sam Greenhalgh nella sua interezza. Puoi anche leggere l’intero articolo su Radical Research.