Les webmasters peuvent suivre toutes vos activités sur Internet - même si vous avez déjà effacé votre historique de navigation et supprimé tous les cookies enregistrés.Un chercheur a démontré deux failles non patchées qui peuvent être exploitées pour suivre des millions d'utilisateurs d'Internet, ce qui permet malveillants propriétaires de site Web:
Liste de construction: Pour compiler une liste de domaines visités par les utilisateurs, même si elles ont effacé leur historique de navigation
Suivi des cookies: Pour marquer les utilisateurs avec un cookie de suivi qui persisteront même après avoir supprimé tous les cookiesCes deux techniques Navigateur de dactyloscopie abus HTTP Strict Sécurité des transports (HSTS) et contenu Politique de sécurité - nouvelles fonctionnalités de sécurité déjà intégré dans Mozilla Firefox et Google Chrome, et devrait rendre leurs moyens à d'autres navigateurs grand public dans un avenir proche.SI, Les propriétaires de sites Web font de ces fonctions de sécurité contre toi?Un chercheur en sécurité a prouvé exactement le même week-end dernier lors de la conférence de sécurité ToorCon à San Diego.Yan Zhu, un chercheur en sécurité indépendant, a démontré comment les sites Web peuvent abuser des protections HSTS et contenu politique de sécurité pour suivre l'utilisateur le plus paranoïaque, permettant à un site Web pour renifler les domaines visités précédemment d'un utilisateur.Lire aussi: HTML5 Canvas Fingerprint - Web Unstoppable largement utilisé les technologies de suivi.Oui, en dépit de sa relation évidente avec «Rigueur» et «Sécurité», HTTP Strict Sécurité Transport (HSTS) peut être abusé de garder une trace de chaque fois que vous visitez un site Web, même si elle prétend garder votre communication avec ce site plus sécurisé.Difficile à croire?Visitez cette page web
http://zyan.scripts.mit.edu/sniffly/
vous dans Chrome, Firefox ou Opera et vous finirez probablement avec une liste précise des sites Web que vous avez et ne l'avez pas visité.Comment fonctionne Sniffly travail?L'exploit des tentatives d'inclure des images non-existantes de divers domaines de HSTS-protégées sur HTTP.Sniffly utilise ensuite JavaScript pour détecter si oui ou non votre navigateur Web peut établir une connexion sécurisée avec ces sites.Comment les sites Web Êtes-vous un suivi en ligneSi vous avez visité le site Web de HSTS avant, il se connecte en quelques millisecondes. Mais, si cela prend plus de temps à se connecter, il y a une chance que vous avez jamais visité le site HSTS avant.Cette technique navigateur d'empreintes digitales est une méthode simple pour renifler une liste rapide des sites qui sécurisé un utilisateur et n'a pas visité.
Vidéo de démonstration
Zhu a développé ce site proof-of-concept de l'attaque, qu'elle a surnommé Sniffly, pour présenter son attaque, et également affiché son code source sur GitHub. Vous pouvez également regarder la vidéo de sa présentation ci-dessous.
Certificat Épingler Vous Tracks même après suppression des cookiesOutre le suivi de l'historique du navigateur, Zhu a également démontré comment un site peut suivre les utilisateurs de Google Chrome, même s'ils suppriment tous les cookies après chaque visite.Au lieu d'exploiter HSTS, le 'Supercookie' abus de la technique des faiblesses dans HTTP épinglage clé publique (HPKP), également connu sous le nom de certificat épinglage.HPKP est une mesure de sécurité destinée à protéger les utilisateurs contre les certificats faux en permettant des sites Web pour spécifier les autorités de certification ont émis certs valides pour leurs sites Web, plutôt que d'accepter une quelconque des centaines de certificats racine intégrés.Sniffly peut abuser de la norme en épinglant texte qui est unique à chaque visiteur, en lisant ce texte lors de visites ultérieures et en utilisant le texte unique, il serait d'utiliser un cookie de navigateur pour suivre les habitudes du site d'un utilisateur.Peu de Limitations;Cependant, contrairement à un cookie de navigateur, la broche de certificat reste intact même après que les cookies sont supprimés.L'attaque d'empreintes digitales renifleurs développé par le chercheur, par exemple, enregistre uniquement le domaine et sous-domaines, au lieu d'une URL complète. En outre, il ne fait pas le suivi des visites à HSTS-protégées des sites pour le moment.En outre, les résultats ne sont pas exactes pour les personnes utilisant le HTTPS Everywhere plugin navigateur, cependant, ces insuffisances peuvent probablement être surmontés avec des modifications de code et des améliorations à l'avenir.Pour plus de détails en profondeur, vous pouvez vous diriger sur les diapositives PDF.
Source.:
