De meeste moderne browsers zijn geen simpele tools is meer voor de weergave van HTML-websites goed in de browser. Ze zijn complexe programma ‘ s die ondersteuning bieden voor een breed scala van technologieën, waaronder een aantal ontworpen voor het verbeteren van de veiligheid en privacy van gebruikers.
Terwijl dat is een goede zaak meestal, kan dit leiden tot problemen als deze nieuwe technologieën kunnen worden misbruikt.
Een recente blog post van Ars Technica ‘ s Dan Goodin geeft aan dat dit het geval voor de twee nieuwe technologieën dat sommige web browsers ondersteunen.
HTTP Strict Transport (HST ‘ s) en HTTP Openbare Sleutel Vastzetten (HPKP) zijn ontworpen voor het verbeteren van de beveiliging van verbindingen naar websites die ondersteuning van deze maatregelen.
HTTP Strict Transport gaat dus door het instrueren van de browsers om alleen verbindingen als HTTPS-verbindingen kunnen worden gemaakt. Als dat niet het geval is, wordt de verbinding geweigerd.
Het lijkt op het eerste gezicht wat de populaire browser extensie HTTPS Everywhere biedt die kunnen worden gebruikt om af te dwingen HTTPS-verbindingen. Het verschil is echter dat het de web server in het geval van HST is de handhaving van de regel.
De side-effect van HST is dat het kan worden gebruikt om gebruikers te volgen op het Internet. We hebben gesproken over dit reeds in onze gids om te voorkomen dat HST ‘ s volgen in de Firefox web browser.
De Firefox-tracking methode misbruikt het feit dat Mozilla slaat informatie op over de HST ‘ s de ondersteuning van sites in een document met platte tekst is. De nieuwe tracking methode echter gebruikers op een andere systeem, dat maakt het compatibel met alle browsers die dit ondersteunen.
Het idee achter de methode is om het insluiten van een niet-bestaande afbeeldingen van bekende HST ‘ s plaatsen op een web pagina en te meten de tijd die het duurt voor het registreren van een fout (omdat het beeld niet bestaat). Een snel oplossen van fout geeft aan dat de site is in het verleden heeft bezocht.
U kunt de methode voor jezelf door het bezoeken van deze demo-site. Het controleert de HST ‘ s cache tegen een aantal populaire websites alleen.
Als u meer wilt weten over dit, controleer de Geavanceerde Browser Fingerprinting praten door Yan Zhu. Ze ontdekte het probleem en geprogrammeerd in het proof of concept aanval site. Het is een uitstekende praten, dat kan iedereen volgen die een basiskennis van computers en het Internet.
De HTTP Openbare Sleutel Pinning aanval op een andere manier werkt en alleen in Chrome op dit moment. Terwijl het beperkt is tot Chrome en andere browsers implementeren certificaat-pinning rapportage, die nodig is voor de aanval.
In principe maakt het mogelijk om websites te geven HTTPS referenties die een browser moet accepteren in de toekomst wanneer de aansluitingen worden gemaakt op de site.
De methode kan worden misbruikt door pinning unieke tekst elke bezoeker, die vervolgens kan worden gelezen op latere bezoeken.
De weerstand tegen deze nieuwe privacy-invasie van een aanval vormen
Een optie die je hebt om jezelf te verdedigen is om duidelijke site gegevens volledig in uw browser naar keuze. Het belangrijkste probleem dat veel gebruikers hebben met het is dat het zal verwijderen die door de gebruiker ingestelde voorkeuren en gegevens die de gebruiker nodig heeft.
Chrome-gebruikers kunnen ook last chrome://net-internals/#hst ‘ s om te controleren op afzonderlijke domeinen op deze manier, maar het is verre van comfortabel. Helaas, er is geen optie in Chrome momenteel om een lijst van alle HST sites te verwijderen selecteer degenen die meer comfortabel.
Firefox-gebruikers aan de andere kant kunt u de gids gekoppeld in de opening van de leden van dit artikel naar manieren om items verwijderen uit de HST-bestand.