Злоупотребление суперкуками ‘HTTP Strict Transport Security’ (HSTS) для отслеживания без куки

Table Of Contents

• Веб-сайты могут использовать функцию безопасности вашего iPhone/iPad для отслеживания вашего просмотра, даже если вы очищаете историю браузера.
• Обновление

Веб-сайты могут использовать функцию безопасности вашего iPhone/iPad для отслеживания вашего просмотра, даже если вы очищаете историю браузера.

Это хорошо известный совет — убедиться, что вы используете защищенное соединение всякий раз, когда посещаете веб-сайт, на котором можете поделиться конфиденциальной или личной информацией. Когда вы посещаете веб-сайт с защищенным соединением, ваш веб-браузер отображает значок замка. Этот значок указывает на то, что ваше соединение с сайтом зашифровано и не может быть перехвачено или вмешано.

Демонстрация

`` …
Это уникальное значение, которое было сгенерировано с помощью JavaScript на этой странице. Страница пытается сохранить это значение в вашем веб-браузере и прочитать его снова, когда вы посетите страницу в будущем. Разные веб-браузеры не ведут себя одинаково. Чтобы увидеть, как работает ваш браузер, попробуйте эти тесты и посмотрите, остается ли значение прежним: - Обновите страницу. - Откройте тот же веб-адрес в окне «приватного»/«инкогнито». - Очистите куки вашего браузера и обновите страницу. - Посетите страницу на другом устройстве iOS, синхронизированном с той же учетной записью iCloud. Если значение остается прежним на любом из этих этапов, эта техника может быть использована для отслеживания ваших привычек просмотра. Это уникальное значение, которое было сгенерировано с помощью JavaScript на этой странице. Страница пытается сохранить это значение в вашем веб-браузере и прочитать его снова, когда вы посетите страницу в будущем. Функция безопасности современных веб-браузеров, называемая «HTTP Strict Transport Security» (HSTS), позволяет веб-сайту указывать, что к нему всегда следует обращаться с использованием защищенного соединения. Если вы посещаете сайт, на котором включен HSTS, ваш веб-браузер запомнит этот флаг и обеспечит безопасность соединения всякий раз, когда вы будете посещать веб-сайт в будущем. Последующие посещения сайта без использования защищенного соединения автоматически перенаправляются веб-браузером на защищенный вариант веб-адреса, начиная с https:// Это автоматическое перенаправление защищает ваш доступ к сайту от перехвата, но также может быть использовано злонамеренным сайтом для хранения уникального номера для отслеживания вашего веб-браузера. Номер может быть закодирован в виде серии битов (истинных и ложных значений) и сохранен, обращаясь к набору веб-адресов. Каждый веб-адрес отвечает с включенным или отключенным HSTS в зависимости от адреса. Как только номер сохранен, его можно будет прочитать другими сайтами в будущем. Чтение номера требует лишь проверки, перенаправляются ли запросы на одни и те же веб-адреса или нет. Использование HSTS для отслеживания ваших привычек просмотра избегает функций веб-браузеров, предназначенных для контроля более обычных механизмов отслеживания на основе «куки». Использование режимов «инкогнито» или «приватного» означает, что существующие куки не будут передаваться сайтам, которые вы посещаете. Браузеры также позволяют вам полностью удалить куки, которые могут быть использованы для отслеживания вас. Поскольку HSTS является функцией безопасности и не предназначен для использования в целях отслеживания, веб-браузеры обрабатывают его иначе, чем куки. Только в результате преднамеренного неправильного применения HSTS может быть использован для отслеживания пользователей. Некоторые браузеры, такие как Google Chrome, Firefox и Opera, смягчают эту проблему. Удаление куки в этих браузерах также удаляет флаги HSTS, поэтому любое сохраненное значение будет очищено. Однако, в отличие от куки, существующие флаги HSTS все еще передаются сайтам при использовании окон «инкогнито» или «приватных». Это означает, что сайт может отслеживать вас, даже если вы решите использовать функции «инкогнито» или «приватного» просмотра в попытке избежать такого отслеживания. Гораздо более тревожным является поведение, проявляемое Safari, стандартным браузером для iPad и iPhone. При использовании Safari на устройстве Apple, похоже, нет способа, чтобы пользователь мог очистить флаги HSTS. Флаги HSTS даже синхронизируются с сервисом iCloud, поэтому они будут восстановлены, если устройство будет очищено. В этом случае устройство может эффективно быть «забрендировано» с неизгладимым значением отслеживания, которое вы не можете удалить. Значительным исключением является Internet Explorer, который не поддерживает HSTS (хотя он находится в разработке на момент написания), поэтому он не уязвим для этой техники. Сначала я думал, что это не путь, который ранее исследовался. Однако Михаил Давидов писал о потенциальном злоупотреблении HSTS в апреле 2012 года, хотя я не знаю о каких-либо прямых ответах на его наблюдения со стороны поставщиков браузеров. Я не знаю о том, чтобы эта техника использовалась для отслеживания пользователей в дикой природе, хотя это не означает, что это не так. Я хотел бы обратиться к остальной технической сообществу, чтобы рассмотреть, как это можно смягчить, при этом извлекая как можно больше пользы из HSTS. Если вы хотите связаться со мной по этому вопросу, пожалуйста, напишите мне на [email protected]. ## Обновление 4 января 2015 года Члены команды безопасности Google Chrome любезно отметили обсуждения, которые привели к ряду патчей и откатов кода chromium в попытках смягчить последствия проблемы, продемонстрированной в этой статье. Вы можете прочитать больше здесь и здесь В конечном итоге они приходят к выводу, что существует необходимый компромисс между безопасностью и конфиденциальностью. Часто задаваемые вопросы по безопасности chromium продолжают: «Преодоление такого отпечатка, вероятно, не практично без фундаментальных изменений в том, как работает Веб».
Технический анализ механизмов идентификации клиентов говорит о возможности этой техники, наряду со многими другими, утверждая: «В попытке сбалансировать безопасность и конфиденциальность любые HSTS пины, установленные во время обычного просмотра, переносятся в режим инкогнито в Chrome; однако нет распространения в обратном направлении».
Эта статья была опубликована с разрешения Сэма Гринхалха в полном объеме. Вы также можете прочитать всю статью на Radical Research.