La maggior parte dei browser moderni, non sono semplici strumenti più a visualizzare i siti in HTML correttamente nel browser. Essi sono complessi programmi che supportano una vasta gamma di tecnologie, tra cui diverse progettate per migliorare la sicurezza e la privacy degli utenti.
Mentre è una buona cosa, di solito, può portare a problemi se queste nuove tecnologie possono essere oggetto di abusi.
Un recente post sul blog di Ars Technica, Dan Goodin indica che questo è il caso per due nuove tecnologie che alcuni browser web di supporto.
HTTP Strict Transport (HSTS) e HTTP Chiave Pubblica Pinning (HPKP) sono progettati per migliorare la sicurezza dei collegamenti a siti web di supporto di queste misure.
HTTP Strict Transport fa in modo da istruire il browser per stabilire le connessioni, se le connessioni HTTPS può essere stabilita. Se non è questo il caso, la connessione viene rifiutata.
È simile a una prima occhiata a ciò che la popolare estensione per il browser HTTPS Everywhere offerte che possono essere utilizzati per applicare le connessioni HTTPS. La differenza, tuttavia, è che è il web server in caso di HSTS, che è l’applicazione della regola.
L’effetto collaterale di HSTS è che può essere utilizzato per tenere traccia degli utenti su Internet. Ne abbiamo parlato già nella nostra guida per prevenire HSTS di monitoraggio nel browser web Firefox.
Firefox metodo di monitoraggio abusato il fatto che Mozilla memorizza informazioni su HSTS sostegno ai siti in un documento di testo. Il nuovo metodo di monitoraggio, tuttavia, gli utenti di un altro sistema che lo rende compatibile con tutti i browser supportano.
L’idea di base di questo metodo è quello di incorporare la non-esistente immagini dal noto HSTS siti su una pagina web di destinazione e per misurare il tempo necessario per registrare un errore (dato che l’immagine non esiste). Una rapida risoluzione di errore indica che il sito è stato visitato in passato.
È possibile controllare il metodo per te, visitando questo sito demo. Controlla il HSTS cache contro un certo numero di siti web popolari.
Se vuoi sapere di più su questo, controllare il Browser Fingerprinting parlare di Yan Zhu. Ha scoperto la vulnerabilità e programmato la prova di concetto attacco del sito. Si tratta di un ottimo discorso che chiunque può seguire chi ha una conoscenza di base del computer e di Internet.
HTTP Chiave Pubblica Pinning attacco funziona in un modo diverso e solo in Chrome attualmente. Mentre Chrome e altri browser implementano certificato-pinning di reporting, che è richiesto per l’attacco.
In sostanza, si consente ai siti web di specificare HTTPS credenziali che un browser deve accettare in futuro, quando le connessioni sono realizzate per il sito.
Il metodo può essere abusato dal blocco di testo unico per ogni visitatore, che può quindi essere letto nelle visite successive.
Difese contro queste nuove invasive della privacy attacco forme
Un’opzione che avete per difendersi è quello di cancellare i dati del sito completamente nel vostro browser di scelta. Il problema principale è che molti utenti che hanno è quella di rimuovere utente di impostare le preferenze e dati che l’utente richiede.
Gli utenti di Chrome può anche caricare chrome://net-internals/#hsts per controllare i singoli domini in questo modo, ma è tutt’altro che confortevole. Purtroppo, non vi è alcuna opzione in Chrome attualmente l’elenco di tutti HSTS siti per eliminare selezionare quelli più confortevole.
Gli utenti di Firefox invece possibile seguire la guida collegati in apertura paragrafi di questo articolo per modi per eliminare le voci dal HSTS file.