‘HTTP Strict Transport Security’ (HSTS) 슈퍼쿠키를 악용한 쿠키 없는 추적

Table Of Contents

• 웹사이트는 브라우저 기록을 지워도 iPhone/iPad의 보안 기능을 사용하여 사용자의 브라우징을 추적할 수 있습니다.
• 업데이트

웹사이트는 브라우저 기록을 지워도 iPhone/iPad의 보안 기능을 사용하여 사용자의 브라우징을 추적할 수 있습니다.

민감하거나 개인 정보를 공유할 수 있는 웹사이트를 방문할 때는 항상 안전한 연결을 사용해야 한다는 것은 잘 알려진 팁입니다. 안전한 연결을 통해 웹사이트를 방문할 때 웹 브라우저는 자물쇠 아이콘을 표시합니다. 이 아이콘은 사이트에 대한 연결이 암호화되어 있으며 간섭이나 가로채기가 불가능하다는 것을 나타냅니다.

시연

`` …
이 값은 이 페이지에서 JavaScript에 의해 생성된 고유한 값입니다. 이 페이지는 이 값을 웹 브라우저에 저장하고 나중에 페이지를 방문할 때 다시 읽으려고 시도합니다. 다양한 웹 브라우저는 정확히 같은 방식으로 작동하지 않습니다. 브라우저의 성능을 확인하려면 다음 테스트를 시도하고 값이 동일하게 유지되는지 확인하세요: - 페이지 새로 고침. - “비공식”/“시크릿” 창에서 동일한 웹 주소 열기. - 브라우저 쿠키를 지우고 페이지 새로 고침. - 동일한 iCloud 계정과 동기화된 다른 iOS 장치에서 페이지 방문. 이 단계 중 어느 단계에서 값이 동일하게 유지된다면 이 기술을 사용하여 사용자의 브라우징 습관을 추적할 수 있습니다. 이 값은 이 페이지에서 JavaScript에 의해 생성된 고유한 값입니다. 이 페이지는 이 값을 웹 브라우저에 저장하고 나중에 페이지를 방문할 때 다시 읽으려고 시도합니다. “HTTP Strict Transport Security” (HSTS)라는 현대 웹 브라우저의 보안 기능은 웹사이트가 항상 안전한 연결을 통해 접근해야 함을 나타낼 수 있게 합니다. HSTS가 활성화된 사이트를 방문하면 웹 브라우저는 이 플래그를 기억하고 향후 웹사이트를 방문할 때 연결이 안전하도록 보장합니다. 안전한 연결을 사용하지 않고 사이트를 방문하면 웹 브라우저가 자동으로 안전한 웹 주소 변형으로 리디렉션합니다. https://로 시작합니다. 이 자동 리디렉션은 사이트에 대한 접근이 가로채어지는 것을 방지하지만 악의적인 사이트가 웹 브라우저를 추적하기 위해 고유한 번호를 저장하는 데 악용될 수도 있습니다. 번호는 비트(참과 거짓 값)의 시리즈로 인코딩될 수 있으며, 일련의 웹 주소에 접근하여 저장됩니다. 각 웹 주소는 주소에 따라 HSTS가 활성화되거나 비활성화된 응답을 합니다. 번호가 저장되면 향후 다른 사이트에서 읽을 수 있습니다. 번호를 읽으려면 동일한 웹 주소에 대한 요청이 리디렉션되는지 여부를 테스트하면 됩니다. HSTS를 사용하여 브라우징 습관을 추적하는 것은 보다 일반적인 “쿠키” 기반 추적 메커니즘을 제어하기 위해 설계된 웹 브라우저의 기능을 회피합니다. “시크릿” 또는 “비공식” 모드를 사용하면 기존 쿠키가 방문하는 사이트와 공유되지 않습니다. 브라우저는 또한 사용자를 추적하는 데 사용될 수 있는 쿠키를 완전히 삭제할 수 있게 해줍니다. HSTS는 보안 기능이기 때문에 추적을 위해 사용될 의도가 없으며, 웹 브라우저는 이를 쿠키와 다르게 취급합니다. HSTS가 사용자를 추적하는 데 악용될 수 있는 것은 의도적인 잘못된 적용에 의해서만 가능합니다. Google Chrome, Firefox 및 Opera와 같은 일부 브라우저는 이 문제를 완화합니다. 이러한 브라우저에서 쿠키를 지우면 HSTS 플래그도 지워지므로 저장된 값이 삭제됩니다. 그러나 쿠키와 달리 기존 HSTS 플래그는 “시크릿” 또는 “비공식” 창을 사용할 때 여전히 사이트와 공유됩니다. 그 결과, 사용자가 이러한 추적을 피하기 위해 “시크릿” 또는 “비공식” 브라우징 기능을 사용하더라도 사이트가 사용자를 추적할 수 있는 가능성이 있습니다. 더욱 걱정스러운 것은 iPad 및 iPhone의 기본 브라우저인 Safari에서 나타나는 동작입니다. Apple 장치에서 Safari를 사용할 때 HSTS 플래그를 사용자가 지울 수 있는 방법이 없는 것처럼 보입니다. HSTS 플래그는 iCloud 서비스와 동기화되므로 장치가 초기화되면 복원됩니다. 이 경우 장치는 사용자가 제거할 수 없는 지워지지 않는 추적 값으로 “브랜딩”될 수 있습니다. 주목할 만한 예외는 HSTS를 지원하지 않는 Internet Explorer입니다(작성 시점에 개발 중임). 따라서 이 기술에 취약하지 않습니다. 처음에는 이 문제가 이전에 탐구되지 않았다고 생각했습니다. 그러나 Mikhail Davidov는 2012년 4월 HSTS의 잠재적 오용에 대해 썼지만 브라우저 공급업체가 그의 관찰에 대해 직접적인 응답을 했다는 것은 알지 못합니다. 이 기술이 실제로 사용자를 추적하는 데 사용되고 있다는 것을 알지 못하지만, 그렇다고 해서 사용되지 않는 것은 아닙니다. 이 정보를 바탕으로 기술 커뮤니티의 나머지와 연락하여 HSTS에서 가능한 한 많은 가치를 얻으면서 이 문제를 어떻게 완화할 수 있을지 고려하고 싶습니다. 이 정보에 대해 연락하고 싶으시면 [email protected]으로 이메일을 보내주세요. ## 업데이트 2015년 1월 4일 Google Chrome 보안 팀의 구성원들이 이 기사가 보여주는 문제의 영향을 완화하기 위한 여러 패치 및 크로미움 코드베이스의 복원으로 이어진 논의를 강조해 주셨습니다. 여기와 여기에서 더 읽을 수 있습니다. 궁극적으로 그들은 보안과 개인 정보 사이에 필요한 균형이 있다고 결론지었습니다. 크로미움 보안 FAQ는 “이러한 지문 인식을 무력화하는 것은 웹 작동 방식에 대한 근본적인 변경 없이는 실용적이지 않을 것”이라고 말합니다. 클라이언트 식별 메커니즘에 대한 기술 분석은 이 기술과 다른 많은 기술의 가능성에 대해 이야기하며 “보안과 개인 정보의 균형을 맞추기 위해 일반 브라우징 중 설정된 모든 HSTS 핀은 Chrome의 시크릿 모드로 전이됩니다. 그러나 반대 방향으로의 전이는 없습니다.”라고 말합니다. 이 기사는 Sam Greenhalgh의 허가를 받아 전재되었습니다. Radical Research에서 전체 기사를 읽을 수도 있습니다.