Zacznijmy od podstaw: tryb prywatny w przeglądarkach, zwany też trybem incognito (a potocznie również trybem porno), umożliwia przeglądanie internetu bez zapisywania na urządzeniu użytkownika śladów jego aktywności. Przynajmniej w teorii. O tym, że nie można na tym trybie tak do końca polegać, pisaliśmy już w 2010 roku.

Z kolei na początku stycznia Sam Greenhalgh z firmy RadicalResearch udowodnił, że odpowiednie zastosowanie flag HSTS pozwala łatwo ze sobą skojarzyć sesję prywatną i zwykłą. Aby zweryfikować, czy używana przez nas przeglądarka jest podatna na ten atak, można odwiedzić testową stronę - najpierw w trybie normalnym, następnie w prywatnym (w Dzienniku Internautów pokazywaliśmy, jak go włączyć).

Czy wyświetlone identyfikatory w obu przypadkach są takie same? Jeżeli nie, warto odświeżyć stronę i sprawdzić jeszcze raz. Jeżeli tak, istnieje możliwość wyśledzenia naszej sesji.

Fot. Michael H Reed / Shutterstock

Ale jak to działa?

W przypadku standardowo używanego protokołu HTTP przesyłanie danych odbywa się czystym tekstem. To nie jest bezpieczne - za pomocą ataku man-in-the-middle (MitM, z ang. człowiek pośrodku) można bez większych problemów podsłuchać i zmodyfikować całą transmisję. Znacznie lepszym pomysłem jest korzystanie z protokołu HTTPS, czyli szyfrowanej wersji HTTP.

Szkopuł w tym, że pięć lat temu na konferencji Black Hat zaprezentowano nowy rodzaj ataku MitM, czyli SSLStrip, który - najprościej mówiąc - zmusza przeglądarkę użytkownika do nawiązania połączenia z użyciem HTTP, zamiast HTTPS. Chęć ograniczenia takich ataków doprowadziła do opracowania mechanizmu HSTS, czyli HTTP Strict Transport Security.

Pierwsza próba połączenia się z serwerem, na którym go wdrożono, powoduje wysłanie nagłówka informującego przeglądarkę, że komunikacja z danym serwerem może odbywać się wyłącznie za pomocą HTTPS. Przeglądarka zapisuje lokalnie, że odwiedzony adres posiada flagę HSTS - od tego momentu przez określony w nagłówku czas (np. przez rok) będzie dla niego przekierowywać ruch z HTTP na HTTPS.

Tak oto dotarliśmy do podatności nagłośnionej przez firmę RadicalResearch. Zaprezentowany przez nią proof-of-concept ataku otrzymał nazwę HSTS Super Cookies. Skoro strona internetowa może zapisać w przeglądarce zestaw flag dla wybranych adresów, to nie jest problemem zakodowanie w ten sposób całej wiadomości np. w formie unikatowego identyfikatora - wyjaśnia Zaufana Trzecia Strona. Aby odczytać ten identyfikator, wystarczy odpowiedni skrypt napisany np. w JavaScripcie, a stąd już prosta droga do skojarzenia ze sobą sesji uruchomionych w trybie zwykłym i prywatnym.

Przeglądarki podatne na atak

Osoby korzystające z Internet Explorera tym razem mogą spać spokojnie, ale tylko dlatego że przeglądarka Microsoftu w ogóle nie obsługuje mechanizmu HSTS. Zagrożeni - choć w różnym stopniu - są za to użytkownicy innych popularnych przeglądarek, takich jak Chrome, Firefox, Safari czy Opera.

Problem można częściowo rozwiązać, usuwając ciasteczka przed uruchomieniem trybu prywatnego - kasowane są wówczas także zapisane lokalnie flagi. Takiej możliwości niestety nie ma w Safari na iPhone'ach i iPadach. Dodatkowo w przypadku tej przeglądarki flagi HSTS są synchronizowane z kontem iCloud, co pozwala zidentyfikować użytkownika korzystającego z różnych urządzeń.

W chwili pisania tego artykułu najnowsza wersja Firefoksa (34.0.5) już nie była podatna na atak, co potwierdza zresztą Ars Technica. Czy i jeśli tak, to kiedy doczekamy się załatania innych przeglądarek, nie wiadomo. Z informacji podawanych przez RadicalResearch zdaje się wynikać, że Google nie uważa tej podatności za groźną.

Czytaj także: O ciasteczkach i śledzeniu - jak sobie z tym radzić na Windowsie