Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Dzięki mechanizmowi HSTS, który chroni internautów przed atakami, eliminując połączenia nieszyfrowane, można obejść tryb prywatny, chyba że użytkownik zachowa szczególną ostrożność.

Zacznijmy od podstaw: tryb prywatny w przeglądarkach, zwany też trybem incognito (a potocznie również trybem porno), umożliwia przeglądanie internetu bez zapisywania na urządzeniu użytkownika śladów jego aktywności. Przynajmniej w teorii. O tym, że nie można na tym trybie tak do końca polegać, pisaliśmy już w 2010 roku.

Z kolei na początku stycznia Sam Greenhalgh z firmy RadicalResearch udowodnił, że odpowiednie zastosowanie flag HSTS pozwala łatwo ze sobą skojarzyć sesję prywatną i zwykłą. Aby zweryfikować, czy używana przez nas przeglądarka jest podatna na ten atak, można odwiedzić testową stronę - najpierw w trybie normalnym, następnie w prywatnym (w Dzienniku Internautów pokazywaliśmy, jak go włączyć).

Czy wyświetlone identyfikatory w obu przypadkach są takie same? Jeżeli nie, warto odświeżyć stronę i sprawdzić jeszcze raz. Jeżeli tak, istnieje możliwość wyśledzenia naszej sesji.

Ciasteczka (ang. cookies)

Fot. Michael H Reed / Shutterstock

Ale jak to działa?

W przypadku standardowo używanego protokołu HTTP przesyłanie danych odbywa się czystym tekstem. To nie jest bezpieczne - za pomocą ataku man-in-the-middle (MitM, z ang. człowiek pośrodku) można bez większych problemów podsłuchać i zmodyfikować całą transmisję. Znacznie lepszym pomysłem jest korzystanie z protokołu HTTPS, czyli szyfrowanej wersji HTTP.

Szkopuł w tym, że pięć lat temu na konferencji Black Hat zaprezentowano nowy rodzaj ataku MitM, czyli SSLStrip, który - najprościej mówiąc - zmusza przeglądarkę użytkownika do nawiązania połączenia z użyciem HTTP, zamiast HTTPS. Chęć ograniczenia takich ataków doprowadziła do opracowania mechanizmu HSTS, czyli HTTP Strict Transport Security.

Pierwsza próba połączenia się z serwerem, na którym go wdrożono, powoduje wysłanie nagłówka informującego przeglądarkę, że komunikacja z danym serwerem może odbywać się wyłącznie za pomocą HTTPS. Przeglądarka zapisuje lokalnie, że odwiedzony adres posiada flagę HSTS - od tego momentu przez określony w nagłówku czas (np. przez rok) będzie dla niego przekierowywać ruch z HTTP na HTTPS.

Tak oto dotarliśmy do podatności nagłośnionej przez firmę RadicalResearch. Zaprezentowany przez nią proof-of-concept ataku otrzymał nazwę HSTS Super Cookies. Skoro strona internetowa może zapisać w przeglądarce zestaw flag dla wybranych adresów, to nie jest problemem zakodowanie w ten sposób całej wiadomości np. w formie unikatowego identyfikatora - wyjaśnia Zaufana Trzecia Strona. Aby odczytać ten identyfikator, wystarczy odpowiedni skrypt napisany np. w JavaScripcie, a stąd już prosta droga do skojarzenia ze sobą sesji uruchomionych w trybie zwykłym i prywatnym.

Przeglądarki podatne na atak

Osoby korzystające z Internet Explorera tym razem mogą spać spokojnie, ale tylko dlatego że przeglądarka Microsoftu w ogóle nie obsługuje mechanizmu HSTS. Zagrożeni - choć w różnym stopniu - są za to użytkownicy innych popularnych przeglądarek, takich jak Chrome, Firefox, Safari czy Opera.

Problem można częściowo rozwiązać, usuwając ciasteczka przed uruchomieniem trybu prywatnego - kasowane są wówczas także zapisane lokalnie flagi. Takiej możliwości niestety nie ma w Safari na iPhone'ach i iPadach. Dodatkowo w przypadku tej przeglądarki flagi HSTS są synchronizowane z kontem iCloud, co pozwala zidentyfikować użytkownika korzystającego z różnych urządzeń.

W chwili pisania tego artykułu najnowsza wersja Firefoksa (34.0.5) już nie była podatna na atak, co potwierdza zresztą Ars Technica. Czy i jeśli tak, to kiedy doczekamy się załatania innych przeglądarek, nie wiadomo. Z informacji podawanych przez RadicalResearch zdaje się wynikać, że Google nie uważa tej podatności za groźną.

Czytaj także: O ciasteczkach i śledzeniu - jak sobie z tym radzić na Windowsie


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              



Ostatnie artykuły:


fot. Samsung



fot. HONOR