Daca exista un lucru pe care site-urile il adora cel mai mult, atunci cu siguranta ca acesta este urmarirea utilizatorilor sai. Dar, se pare ca acum unele browsere pot fi urmarite chiar si atunci cand acestea sunt in modul de navigare incognito (private browsing).
Sam Greenhalgh, cercetator in cadrul companiei RadicalResearch din Marea Britanie, a publicat recent un articol in care dovedeste existenta asa-ziselor “HSTS Super Cookies”. Greenhalgh arata cum un website si-ar putea urmari vizitatorii, chiar daca acestia l-au accesat in modul incognito.
Cheia acestui exploit o reprezinta utilizarea HTTP Strict Transport Security (HSTS) in alt scop decat cel pentru care a fost conceput. HSTS este o caracteristica web moderna, care permite unui website sa transmita unui browser ca ar trebui sa se conecteze la site numai printr-o conexiune criptata.
De exemplu, un utilizator tasteaza in browser adresa sitesecurizat.com, avand HSTS activat. Serverele site-ului sitesecurizat.com vor transmite browser-ului ca ar trebui sa se conecteze la site numai prin HTTPS. Din acel moment, toate conexiunile din browserul utilizatorului respectiv catre sitesecurizat.com vor folosi HTTPS by default.
Problema este ca, pentru ca HSTS sa functioneze, browser-ul trebuie sa stocheze date despre site-urile la care aceasta trebuie sa se conecteze numai prin HTTPS. Astfel, datele pot fi manipulate pentru a localiza un anumit browser. Si pentru ca HSTS este o caracteristica de securitate, cele mai multe browsere il mentin activ chiar daca sunt in modul de navigare normal sau incognito, astfel ca dupa ce un browser a fost localizat, acesta poate fi urmarit chiar si in modul incognito.
Desi aceasta problema este cunoscuta de ceva timp, nu este clar daca vreun site profita de aceasta slabiciune pentru a-si urmari utilizatorii. Indiferent de situatie, iata cum va puteți proteja, in functie de browserul folosit:
– Chrome: stergeti cookie-urile inainte de a intra in modul incognito. Chrome sterge automat baza de date HSTS ori de cate ori stergeti cookie-urile.
– Firefox: Greenhalgh spune ca cea mai recenta versiune Firefox a rezolvat aceasta problema prin dezactivarea HSTS in modul de navigare incognito.
– Safari reprezinta o problema mare, deoarece aparent nu exista nicio modalitate evidenta de a sterge baza de date HSTS pe dispozitivele Apple, cum ar fi iPad sau iPhone, spune Greenhalgh.
– In ceea ce priveste utilizatorii de Internet Explorer, vestea buna este ca acestia sunt complet protejati de acest tip de urmarire. Vestea proasta este ca motivul pentru care sunt protejati il constituie faptul ca IE nu ofera deloc suport HSTS.