Шпионить за посещаемыми сайтами: HSTS упрощает

В других статьях мы видели, как можно проверить, какие веб-сайты были посещены с помощью любой системы.

Обычно, используя так называемый режим просмотра инкогнито, предлагаемый всеми основными веб-браузерами, можно посетить любую страницу без сохранения какой-либо информации о ней в истории и среди временных файлов.

Получая доступ к содержимому веб-истории любого браузера, очень легко проверить, какие веб-сайты были посещены, за исключением тех, которые были открыты в режиме инкогнито.

Однако прием, подобный показанному в статье Обнаружение посещенных сайтов даже при использовании анонимного просмотра, позволяет вам иметь богатый список посещенных сайтов, даже открытых в режиме инкогнито.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Используя маршрутизатор или устройство, которое предлагает возможность мониторинга трафика, генерируемого клиентами, подключенными к локальной сети, по-прежнему можно следить за посещаемыми сайтами.

Однако интеллектуальное использование внешних служб, таких как OpenDNS, позволяет вам контролировать сайты, посещаемые всеми системами, подключенными к локальной сети: Контролируйте сайты, посещаемые маршрутизаторами, локальными сетями и WiFi с помощью OpenDNS.

Веб-сайты также могут следить за страницами, открытыми пользователями.

Однако в эти часы мы возвращаемся, чтобы поговорить о слабости в управлении процедурой HSTS (HTTP Strict Transport Security), которая может привести к тому, что сторонний веб-сайт с хорошей степенью приближения установит, какие страницы были ранее посетил пользователь.

HSTS — это механизм безопасности, который позволяет веб-сайтам объявлять, что все последующие взаимодействия с веб-сервером будут осуществляться только с использованием защищенного соединения HTTPS. Политика, применяемая веб-сервером, передается клиенту (и, следовательно, браузеру пользователя) через дополнительный заголовок, предоставляемый в ответ на запрос на подключение.

Использование HSTS помогает защитить соединения HTTPS от атак с понижением уровня безопасности и предотвратить перехват сеанса.

Использование HSTS веб-сайтом, который использует протокол HTTPS для защиты информации, которой обмениваются клиент и сервер (и наоборот), также поощряется при оценке реализованных мер безопасности. В статье Как активировать HTTPS на вашем Linux-сервере мы видели, что, активировав HSTS на вашем веб-сервере, вы получите гораздо более точное суждение, выполнив проверку, например, с помощью тест Qualys.

Поэтому внедрение HSTS само по себе хорошо.

Однако из-за того, как HSTS управляется различными веб-браузерами, этот механизм может использоваться для уникальной идентификации пользователя или для слежки за посещаемыми сайтами.

Что касается идентификации, в статье Суперкуки HSTS также отслеживает инкогнито мы видели, как реализация HSTS в веб-браузерах фактически позволяет использовать на любом веб-сайте своего рода суперкуки, способный противостоять даже использованию режима инкогнито. .

Таким образом, веб-сайт может установить уникальный идентификатор, который может быть прочитан из файла, содержащего информацию HSTS, даже сторонними сайтами. Только удаление всех файлов cookie в обычном режиме просмотра позволяет избавиться от файла supercookie.

Однако в эти часы много говорят о тест Сниффли. Зайдя на страницу, вы заметите, как — в левой колонке — тест отображает список сайтов, которые вы ранее посещали.

Короче говоря, тесту удается — с хорошим приближением — шпионить за веб-сайтами, которые посещает пользователь. Как это возможно?

Прежде всего, следует указать некоторые важные аспекты:

— тест проверяет определенное количество веб-сайтов (невозможно прочитать список всех веб-сайтов, посещенных пользователем)
— тест эффективен только на сайтах, использующих (даже или только) протоколы HTTPS и HSTS. Он не может контролировать любое предыдущее посещение пользователем сайтов, не использующих HSTS.

Когда вы посещаете тест Сниффли, серия несуществующих изображений загружается в различные проверяемые домены.

Поскольку удаленного изображения не существует, Sniffly проверяет, через какое время сообщение получено с HTTPS-сервера с поддержкой HSTS.

Если уведомление приходит через короткое время, это означает, что тестируемый сайт уже посещался пользователем ранее.

Если после проведения теста на Sniffly вы не распознаете ранее посещенные веб-сайты, откройте другую вкладку или окно браузера и попробуйте зайти, например, на outlook.com, Justice.it, airbnb.it или reddit.com.

Снова запустив тест Sniffly, вы найдете эти домены в левой колонке (Сайты, которые вы, вероятно, посещали).

Как защитить себя

Авторы теста призывают разработчиков веб-браузеров начать принимать эффективные меры защиты от атак на HSTS.

Шпионить за посещаемыми сайтами: HSTS упрощает

Пользователи Firefox могут ввести about: support в адресной строке, а затем нажать кнопку «Показать папку».

Файл SiteSecurityServiceState.txt содержит полный список посещенных сайтов HSTS.

Шпионить за посещаемыми сайтами: HSTS упрощает

Поэтому вы можете периодически удалять содержимое этого файла или сделать его доступным только для чтения, чтобы Firefox не мог добавлять в него дополнительные записи (читай, другие веб-сайты HSTS).

Такие программы, как CCleaner (см. CCleaner удаляет приложения Windows 10), поддерживают удаление суперкуки HSTS и очистку профиля пользователя Firefox.

Шпионить за посещаемыми сайтами: HSTS упрощает

В случае с Google Chrome невозможно получить доступ к файлу, содержащему список ранее посещенных сайтов HSTS.

При желании вы можете ввести chrome://net-internals/#hsts в адресной строке и удалить отдельные домены с помощью поля Удалить домен.

Домен запроса ниже позволяет проверить, включен ли домен (уже посещенный ранее) в список доменов, управляемых Chrome.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.