Die meisten modernen Browser sind keine einfachen Werkzeuge mehr, um die Anzeige von HTML-Webseiten im browser richtig dargestellt wird. Es sind komplexe Programme, die Unterstützung für eine Vielzahl von Technologien, darunter mehrere zur Verbesserung der Sicherheit und Privatsphäre der Nutzer.
Das ist zwar eine gute Sache, in der Regel, kann es zu Problemen führen, wenn diese neuen Technologien missbraucht werden können.
Eine aktuelle blog-post von Ars Technica ‘ s Dan Goodin zeigt, dass dies der Fall bei zwei neuen Technologien, die einige web-Browser unterstützen.
HTTP Strict Transport (HSTS) und HTTP Public Key Pinning (HPKP) sind entworfen, um zu verbessern die Sicherheit der verbindungen zu websites, die sich diese Maßnahmen stützen.
HTTP Strict Transport geschieht durch die Unterweisung Browser nur verbindungen herstellen, wenn HTTPS-verbindungen hergestellt werden können. Wenn das nicht der Fall, wird die Verbindung abgelehnt.
Ähnlich ist es auf den ersten Blick, was der beliebte browser-Erweiterung HTTPS-Everywhere-Angebote, die verwendet werden können, zu erzwingen, HTTPS-verbindungen sowie. Der Unterschied ist jedoch, dass es der web-server bei der HSTS die Durchsetzung der Regel.
Die Nebenwirkung von HSTS ist, dass es kann verwendet werden, zu verfolgen Benutzer auf dem Internet. Wir haben gesprochen über dieses, bereits in unseren Leitfaden, um zu verhindern, dass HSTS-tracking in der Firefox web-browser.
Die Firefox-tracking-Methode missbraucht die Tatsache, dass Mozilla speichert Informationen über HSTS Unterstützung von Seiten in eine nur-text-Dokument. Die neue tracking-Methode, die jedoch den Benutzern ein anderes system macht es kompatibel mit allen Browsern unterstützt.
Die grundlegende Idee hinter der Methode ist das einbetten nicht vorhandene Bilder von bekannten HSTS sites auf einem Ziel-web-Seite und die Zeit Messen, die es braucht, um zu registrieren, eine Fehlermeldung (da das Bild nicht vorhanden ist). Eine schnelle Lösung Fehler zeigt an, dass die Website in der Vergangenheit besucht.
Sie können die Methode für sich selbst durch den Besuch dieser demo-Website. Es prüft die HSTS-cache für eine Reihe von populären websites nur.
Wenn Sie mehr wissen wollen über das, check out die Erweiterte Browser-Fingerprinting sprechen von Yan Zhu. Sie entdeckte die Schwachstelle und programmiert die proof-of-concept-Angriff-Website. Es ist eine ausgezeichnete Rede, dass jeder Folgen kann, die ein grundlegendes Verständnis von Computern und dem Internet.
Die HTTP Public Key Pinning Angriff funktioniert in einer anderen Art und Weise und nur im Chrome derzeit. Während es beschränkt sich auf Chrome, andere Browser implementieren Zertifikat-pinning-Berichterstattung, die erforderlich ist für den Angriff.
Grundsätzlich ist es erlaubt, Webseiten zu geben Sie die HTTPS-Anmeldeinformationen, dass ein browser akzeptieren soll, in der Zukunft, wenn verbindungen aus der Website.
Die Methode missbraucht werden kann durch anheften von einzigartigen text, der an jeden Besucher, die dann gelesen werden, die auf spätere Besuche.
Verteidigungen gegen diese neue Datenschutz-Invasion-Angriff bildet
Eine option, die Sie haben um sich zu verteidigen, ist das löschen von Website-Daten vollständig in Ihren browser der Wahl. Die wichtigste Frage, die viele Benutzer haben, ist, dass es Benutzer entfernen-legen Sie die Voreinstellungen und Daten, die der Benutzer benötigt als gut.
Chrome-Nutzer können auch laden Sie chrome://net-internals/#hsts zu überprüfen, einzelne domains auf diese Weise, aber es ist weit aus bequemer. Leider gibt es keine option in Chrome derzeit um eine Liste aller HSTS sites zu löschen, wählen Sie diejenigen, die mehr komfortabel.
Firefox-Nutzer auf der anderen Seite können die Führer zu Folgen verbunden, die in den einleitenden Absätzen dieses Artikels für Möglichkeiten zum löschen von Einträgen aus der HSTS-Datei.