Шпионить за посещаемыми сайтами: HSTS упрощает

В других статьях мы видели, как можно проверить, какие веб-сайты были посещены с помощью любой системы.

Обычно, используя так называемый режим просмотра инкогнито, предлагаемый всеми основными веб-браузерами, можно посетить любую страницу без сохранения какой-либо информации о ней в истории и среди временных файлов.

Получая доступ к содержимому веб-истории любого браузера, очень легко проверить, какие веб-сайты были посещены, за исключением тех, которые были открыты в режиме инкогнито.

Однако прием, подобный показанному в статье Обнаружение посещенных сайтов даже при использовании анонимного просмотра, позволяет вам иметь богатый список посещенных сайтов, даже открытых в режиме инкогнито.

Используя маршрутизатор или устройство, которое предлагает возможность мониторинга трафика, генерируемого клиентами, подключенными к локальной сети, по-прежнему можно следить за посещаемыми сайтами.

Однако интеллектуальное использование внешних служб, таких как OpenDNS, позволяет вам контролировать сайты, посещаемые всеми системами, подключенными к локальной сети: Контролируйте сайты, посещаемые маршрутизаторами, локальными сетями и WiFi с помощью OpenDNS.

Веб-сайты также могут следить за страницами, открытыми пользователями.

Однако в эти часы мы возвращаемся, чтобы поговорить о слабости в управлении процедурой HSTS (HTTP Strict Transport Security), которая может привести к тому, что сторонний веб-сайт с хорошей степенью приближения установит, какие страницы были ранее посетил пользователь.

HSTS — это механизм безопасности, который позволяет веб-сайтам объявлять, что все последующие взаимодействия с веб-сервером будут осуществляться только с использованием защищенного соединения HTTPS. Политика, применяемая веб-сервером, передается клиенту (и, следовательно, браузеру пользователя) через дополнительный заголовок, предоставляемый в ответ на запрос на подключение.

Использование HSTS помогает защитить соединения HTTPS от атак с понижением уровня безопасности и предотвратить перехват сеанса.

Использование HSTS веб-сайтом, который использует протокол HTTPS для защиты информации, которой обмениваются клиент и сервер (и наоборот), также поощряется при оценке реализованных мер безопасности. В статье Как активировать HTTPS на вашем Linux-сервере мы видели, что, активировав HSTS на вашем веб-сервере, вы получите гораздо более точное суждение, выполнив проверку, например, с помощью тест Qualys.

Поэтому внедрение HSTS само по себе хорошо.

Однако из-за того, как HSTS управляется различными веб-браузерами, этот механизм может использоваться для уникальной идентификации пользователя или для слежки за посещаемыми сайтами.

Что касается идентификации, в статье Суперкуки HSTS также отслеживает инкогнито мы видели, как реализация HSTS в веб-браузерах фактически позволяет использовать на любом веб-сайте своего рода суперкуки, способный противостоять даже использованию режима инкогнито. .

Таким образом, веб-сайт может установить уникальный идентификатор, который может быть прочитан из файла, содержащего информацию HSTS, даже сторонними сайтами. Только удаление всех файлов cookie в обычном режиме просмотра позволяет избавиться от файла supercookie.

Однако в эти часы много говорят о тест Сниффли. Зайдя на страницу, вы заметите, как — в левой колонке — тест отображает список сайтов, которые вы ранее посещали.

Короче говоря, тесту удается — с хорошим приближением — шпионить за веб-сайтами, которые посещает пользователь. Как это возможно?

Прежде всего, следует указать некоторые важные аспекты:

— тест проверяет определенное количество веб-сайтов (невозможно прочитать список всех веб-сайтов, посещенных пользователем)
— тест эффективен только на сайтах, использующих (даже или только) протоколы HTTPS и HSTS. Он не может контролировать любое предыдущее посещение пользователем сайтов, не использующих HSTS.

Когда вы посещаете тест Сниффли, серия несуществующих изображений загружается в различные проверяемые домены.

Поскольку удаленного изображения не существует, Sniffly проверяет, через какое время сообщение получено с HTTPS-сервера с поддержкой HSTS.

Если уведомление приходит через короткое время, это означает, что тестируемый сайт уже посещался пользователем ранее.

Если после проведения теста на Sniffly вы не распознаете ранее посещенные веб-сайты, откройте другую вкладку или окно браузера и попробуйте зайти, например, на outlook.com, Justice.it, airbnb.it или reddit.com.

Снова запустив тест Sniffly, вы найдете эти домены в левой колонке (Сайты, которые вы, вероятно, посещали).

Как защитить себя

Авторы теста призывают разработчиков веб-браузеров начать принимать эффективные меры защиты от атак на HSTS.

Пользователи Firefox могут ввести about: support в адресной строке, а затем нажать кнопку «Показать папку».

Файл SiteSecurityServiceState.txt содержит полный список посещенных сайтов HSTS.

Поэтому вы можете периодически удалять содержимое этого файла или сделать его доступным только для чтения, чтобы Firefox не мог добавлять в него дополнительные записи (читай, другие веб-сайты HSTS).

Такие программы, как CCleaner (см. CCleaner удаляет приложения Windows 10), поддерживают удаление суперкуки HSTS и очистку профиля пользователя Firefox.

В случае с Google Chrome невозможно получить доступ к файлу, содержащему список ранее посещенных сайтов HSTS.

При желании вы можете ввести chrome://net-internals/#hsts в адресной строке и удалить отдельные домены с помощью поля Удалить домен.

Домен запроса ниже позволяет проверить, включен ли домен (уже посещенный ранее) в список доменов, управляемых Chrome.