La plupart des navigateurs modernes ne sont pas de simples outils de plus pour afficher le code HTML des sites web correctement dans le navigateur. Ils sont complexes des programmes qui prennent en charge une grande variété de technologies, y compris plusieurs conçue pour améliorer la sécurité et la vie privée des utilisateurs.
Alors que c’est une bonne chose, généralement, il peut conduire à des problèmes si ces nouvelles technologies peuvent être victimes de violence.
Un récent billet de blog par Ars Technica Dan Goodin indique que c’est le cas pour les deux nouvelles technologies que certains navigateurs web pris en charge.
HTTP Strict Transport (HSTS) et HTTP Public Key Pinning (HPKP) sont conçus pour améliorer la sécurité des connexions à des sites web à l’appui de ces mesures.
HTTP Strict Transport fait par les donneurs d’navigateurs uniquement à établir des connexions si les connexions HTTPS peut être établie. Si ce n’est pas le cas, la connexion est refusée.
Il ressemble à première vue à ce que le populaire navigateur extension HTTPS Everywhere offres qui peuvent être utilisés pour appliquer les connexions HTTPS. La différence, cependant, est que c’est le serveur web, dans le cas de HSTS qui est de l’application de la règle.
Les effets secondaires de HSTS est qu’il peut être utilisé pour le suivi des utilisateurs sur Internet. Nous avons parlé déjà dans notre guide de prévenir HSTS de suivi dans le navigateur web Firefox.
Firefox méthode de suivi abusé le fait que Mozilla stocke des informations sur les HSTS centres de soutien dans un document texte simple. La nouvelle méthode de suivi par les utilisateurs d’un autre système qui la rend compatible avec tous les navigateurs le supportant.
L’idée de base de la méthode consiste à incorporer des non-existant images de HSTS sites sur une page web, et de mesurer le temps nécessaire à l’enregistrement d’un message d’erreur (puisque l’image n’existe pas). Un rapidement la résolution de l’erreur indique que le site a été visité dans le passé.
Vous pouvez vérifier la méthode par vous-même en visitant ce site de démonstration. Il vérifie le HSTS cache à l’encontre d’un certain nombre de sites web populaires.
Si vous voulez en savoir plus à ce sujet, consultez le Navigateur Avancé Empreintes parler par Yan Zhu. Elle a découvert la vulnérabilité et programmé la preuve de concept à l’attaque du site. C’est un excellent discours que n’importe qui peut suivre qui a une compréhension de base des ordinateurs et de l’Internet.
HTTP Public Key Pinning attaque fonctionne d’une autre manière, et seulement dans le Chrome actuellement. Tandis qu’il est limité à google Chrome, les autres navigateurs vont mettre en œuvre certificat de favoriser les rapports, ce qui est nécessaire pour l’attaque.
Fondamentalement, il permet aux sites internet de spécifier HTTPS informations d’identification qu’un navigateur doit accepter à l’avenir, lorsque les connexions sont effectuées sur le site.
La méthode peut être abusé par l’épinglage d’un texte unique à chaque visiteur, qui peuvent ensuite être lues lors de visites ultérieures.
Défenses contre ces nouveaux de la vie privée-invasion attaque formes
Une option que vous devez vous défendre est d’effacer les données d’un site complètement dans votre navigateur de choix. Le principal problème que de nombreux utilisateurs ont peut-être avec elle, c’est qu’il va supprimer les préférences définies par l’utilisateur et des données que l’utilisateur a besoin.
Les utilisateurs de Chrome peut également charger google chrome://net-internals/#hsts de consulter différents domaines de cette façon, mais c’est loin d’être confortable. Malheureusement, il n’y a pas d’option dans Chrome actuellement à la liste de tous HSTS sites pour supprimer sélectionnez ceux qui sont plus à l’aise.
Les utilisateurs de Firefox sur l’autre main peut suivre le guide liés à l’ouverture des paragraphes de cet article pour obtenir des moyens pour supprimer des entrées de la HSTS fichier.