De fleste moderne nettlesere er ikke enkle verktøy lenger for å vise HTML nettsteder på riktig måte i nettleseren. De er komplekse programmer som støtter et bredt utvalg av teknologier, inkludert flere som er utformet for å forbedre sikkerheten og personvernet til brukerne.
Mens det er en god ting vanligvis, kan det føre til problemer så vel hvis disse nye teknologiene kan bli misbrukt.
Et siste blogginnlegg av Ars Technica ‘ s Dan Goodin viser at dette er tilfelle for de to nye teknologier som noen nettlesere støtter.
HTTP Strenge Transport (HSTS) og HTTP Offentlig Nøkkel for å Feste (HPKP) er utviklet for å bedre sikkerheten i forbindelsene laget til nettsteder som støtter disse tiltakene.
HTTP Strenge Transport gjør det ved å instruere nettlesere å bare opprette tilkoblinger hvis HTTPS-tilkoblinger kan være etablert. Hvis det ikke er tilfelle, den forbindelse er nektet.
Det ligner ved første øyekast hva den populære nettleseren extension HTTPS Overalt tilbud som kan bli brukt til å håndheve HTTPS-tilkoblinger som godt. Forskjellen er imidlertid at det er web-serveren i tilfelle av HSTS som er å håndheve regelen.
Side-effekt av HSTS er at det kan brukes til å spore brukere på Internett. Vi har snakket om dette allerede i vår guide for å hindre HSTS sporing i Firefox nettleser.
Firefox sporing metode utnyttet det faktum at Mozilla lagrer informasjon om HSTS støtte områder i et vanlig tekstdokument. Den nye sporing metoden imidlertid brukerne et annet system som gjør det kompatibelt med alle nettlesere som støtter det.
Den grunnleggende ideen bak metoden er å legge ikke-eksisterende bilder fra kjente HSTS nettsteder på en target web-side og for å måle tiden det tar å registrere en feil (siden bildet ikke eksisterer). Et raskt løse feilen tyder på at webområdet har blitt besøkt tidligere.
Du kan sjekke metoden ut for deg selv ved å besøke denne demo side. Den kontrollerer HSTS buffer mot en rekke populære webområder.
Hvis du ønsker å vite mer om dette, sjekk ut den Avanserte Nettleseren Fingeravtrykk snakke med Yan Zhu. Hun oppdaget et sikkerhetsproblem og programmert proof of concept angripe nettstedet. Det er et utmerket foredrag som alle kan følge, som har en grunnleggende forståelse av datamaskiner og Internett.
HTTP Offentlig Nøkkel for å Feste angrep fungerer på en annen måte, og bare i Chrome for tiden. Mens det er begrenset til Chrome og andre nettlesere vil implementere sertifikat-låsing rapportering, som er nødvendig for angrep.
I utgangspunktet, det gjør det mulig nettsteder til å angi HTTPS legitimasjon at en leser skal godta i fremtiden når tilkoblinger er gjort på nettstedet.
Metoden kan bli utsatt for overgrep ved å feste unik tekst til hver besøkende som deretter kan bli lest ved senere besøk.
Forsvar mot disse nye personvern-invaderende angrep former
Ett alternativ som du har å forsvare deg selv er å fjerne nettstedet data helt i din nettleser for valget. Det største problemet at mange brukere kan ha med det er at det vil fjerne brukeren-angi innstillinger og data som brukeren krever også.
Chrome-brukere kan også laste inn chrome://net-innvendige/#hsts å kontrollere enkelte domener på denne måten, men det er langt fra komfortabel. Dessverre, det er ikke noe alternativ i Chrome-tiden for å liste alle HSTS nettsteder for å slette velg seg mer komfortabel.
Firefox-brukere på den annen side kan du følge veiledningen knyttet i de første avsnittene i denne artikkelen etter måter å slette oppføringer fra HSTS fil.