De flesta moderna webbläsare är inte enkla verktyg längre för att visa HTML-webbsidor korrekt i webbläsaren. De är komplexa program som har stöd för en mängd olika tekniker inklusive flera som syftar till att förbättra säkerhet och integritet för användare.
Även om det är en bra sak brukar, det kan leda till att frågor om denna nya teknik kan missbrukas.
En senare blogg inlägg av Ars Technica Dan Goodin indikerar att detta är fallet för två nya tekniker som vissa webbläsare stöd.
HTTP Strict Transport (HÖGHASTIGHETSTÅG) och HTTP Offentliga Nyckel för Fastlåsning (HPKP) är utformade för att förbättra säkerheten för anslutningar som har gjorts till webbplatser som stöder dessa åtgärder.
HTTP Strict Transport gör så genom att låta webbläsare för att endast upprätta anslutningar om HTTPS-anslutningar kan upprättas. Om detta inte är fallet, anslutningen avslås.
Det liknar vid första anblicken till vad den populära webbläsaren förlängning HTTPS Överallt erbjudanden som kan användas för att upprätthålla HTTPS-anslutningar. Skillnaden är dock att det är web server i händelse av HÖGHASTIGHETSTÅG som är att tillämpa den regeln.
Bieffekt av HÖGHASTIGHETSTÅG är att det kan användas för att spåra användare på Internet. Vi har pratat om det här redan i vår guide för att förhindra HÖGHASTIGHETSTÅG spårning i webbläsaren Firefox.
Firefox tracking-metoden utnyttjade det faktum att Mozilla lagrar information om HÖGHASTIGHETSTÅG stödja webbplatser i ett vanligt textdokument. Den nya tracking-metoden dock användare ett annat system som gör den kompatibel med alla webbläsare som stöder det.
Den grundläggande tanken bakom metoden är att bädda in icke-existerande bilder från kända HÖGHASTIGHETSTÅG webbplatser på ett mål webbsida och för att mäta den tid det tar att registrera ett fel (eftersom bilden inte finns). Ett snabbt lösa felet indikerar att platsen har besökt tidigare.
Du kan kontrollera metod för dig själv genom att besöka denna demo webbplats. Det kontrollerar HÖGHASTIGHETSTÅG cache mot ett antal populära webbplatser.
Om du vill veta mer om detta, kolla in de Avancerade Webbläsaren Fingeravtryck prata av Yan Zhu. Hon upptäckte sårbarheten och planerade proof of concept-attack webbplats. Det är ett utmärkt prata som alla kan följa och som har en grundläggande förståelse av datorer och Internet.
HTTP Public Key Sätter attack fungerar på ett annat sätt och endast i Chrome för närvarande. Även om det är begränsat till Chrome, andra webbläsare kommer att genomföra certifikat-nålning rapportering som krävs för attacken.
I grund och botten, det gör att webbplatser för att ange HTTPS referenser som en webbläsare måste acceptera i framtiden när anslutningar görs till platsen.
Metoden kan missbrukas genom att fästa unik text till varje besökare som sedan kan läsas vid ett senare besök.
Försvar mot dessa nya sekretess-invaderande attack former
Ett alternativ som du har att försvara sig själv är att rensa bort data helt i din webbläsare val. Den viktigaste frågan som många användare kan ha med det är att det kommer att ta bort användare-inställningar och data som användaren kräver.
Chrome-användare kan också ladda chrome://net-internals/#höghastighetståg för att kontrollera enskilda domäner på detta sätt, men det är långt ifrån bekväm. Tyvärr, det finns inga alternativ i Chrome för närvarande för att lista alla HÖGHASTIGHETSTÅG webbplatser för att radera väljer du de mer bekväma.
Firefox-användare å andra sidan kan följa guiden kopplad i de inledande styckena i denna artikel efter sätt att ta bort poster från HÖGHASTIGHETSTÅG fil.