De fleste moderne browsere er ikke enkle værktøjer længere at vise HTML-hjemmesider korrekt i browseren. De er komplekse programmer, der understøtter en bred vifte af teknologier, herunder flere der er designet til at forbedre sikkerheden og privatlivets fred af brugere.
Mens det er en god ting normalt, kan det føre til problemer, hvis disse nye teknologier kan være misbrugt.
En nylig blog-indlæg af Ars Technica s Dan Goodin angiver, at dette er tilfældet for to nye teknologier, at nogle web-browsere understøtter.
HTTP Strict Transport (TGV) og HTTP Offentlige Nøgle-Pinning (HPKP) er designet til at forbedre sikkerheden i forbindelserne lavet til hjemmesider, der støtter disse tiltag.
HTTP Strict Transport sker ved at instruere browsere til kun at oprette forbindelse, hvis HTTPS forbindelser kan etableres. Hvis det ikke er tilfældet, forbindelsen er afvist.
Det ligner ved første øjekast, hvad den populære browser udvidelse HTTPS Overalt tilbud, som kan bruges til at håndhæve HTTPS-forbindelser samt. Forskellen er imidlertid, at det er den web-server i tilfælde af HSTS, der er at håndhæve reglen.
Den side-effekt af HSTS er, at det kan bruges til at spore brugere på Internettet. Vi har allerede talt om dette i vores vejledning for at forhindre HSTS tracking i Firefox web-browser.
Firefox tracking metode misbrugt det faktum, at Mozilla gemmer oplysninger om HSTS støtte websteder i en almindelig tekst-dokument. Med den nye tracking-metode, men brugerne af et andet system, der gør det kompatibelt med alle browsere, der understøtter det.
Den grundlæggende idé bag metoden er at integrere ikke-eksisterende billeder fra kendte HSTS steder på et mål webside, og til at måle den tid, det tager at registrere en fejl, da billedet ikke eksisterer). Et hurtigt at løse fejl angiver, at stedet har været besøgt tidligere.
Du kan kontrollere den metode ud for dig selv ved at besøge denne demo site. Det kontrollerer HSTS cache i forhold til en række populære hjemmesider.
Hvis du ønsker at vide mere om dette, tjek den Avancerede Browser Fingeraftryk foredrag af Yan Zhu. Hun opdagede sårbarhed og programmerede proof of concept attack site. Det er en fremragende tale, som alle kan følge, som har en grundlæggende forståelse af computere og Internettet.
HTTP Offentlige Nøgle-Pinning angreb fungerer på en anden måde, og kun i Chrome i øjeblikket. Selv om det er begrænset til Chrome, andre browsere vil gennemføre en certifikat-pinning rapportering, som er påkrævet for angrebet.
Dybest set, det giver hjemmesider for at angive HTTPS legitimationsoplysninger som en browser skal acceptere i fremtiden, når forbindelser er lavet til stedet.
Den metode, der kan misbruges af pinning unik tekst til hver besøgende, som kan læses på de efterfølgende besøg.
Forsvar mod disse nye privacy-invaderende angreb former
En mulighed, at du er nødt til at forsvare dig selv er at rydde ejendommen data helt i din browser valg. Det største problem, at mange brugere kan have med det er, at det vil fjerne, brugeren har angivet indstillinger og data, som brugeren har behov for, så godt.
Chrome-brugere kan også indlæse chrome://net-interne/#hsts at kontrollere de enkelte domæner på denne måde, men det er langt fra behagelig. Desværre, der er ingen mulighed i Chrome, som i øjeblikket en liste over alle HSTS steder at slette vælge dem mere komfortable.
Firefox-brugere på den anden side kan du følge den vejledning, der er forbundet i de indledende afsnit i denne artikel for at få måder til at slette poster fra TGV-fil.