Nieuws
image

Incognito-mode beschermt niet tegen supercookies

maandag 5 januari 2015, 12:05 door Redactie, 8 reacties
Laatst bijgewerkt: 07-01-2015, 17:28

Gebruikers die de incognito-mode of private browsing van hun browser gebruiken zijn nog steeds via zogeheten "supercookies" te volgen, zo blijkt uit een online test van de Britse ontwikkelaar Sam Greenhalgh. Het probleem wordt veroorzaakt door een beveiligingsmaatregel genaamd "HTTP Strict Transport Security" (HSTS). De maatregel zorgt ervoor dat websites alleen via een beveiligde verbinding worden benaderd.

In het geval een website HSTS heeft ingeschakeld zal de browser dit via een speciale "flag" onthouden en zorgen dat er alleen via HTTPS verbinding wordt gemaakt. Als de gebruiker zelf HTTP in de adresbalk opgeeft wordt hij automatisch naar HTTPS doorgestuurd. Dit automatische doorsturen kan echter ook door een kwaadaardige website worden gebruikt om een uniek getal in de browser van de gebruiker op te slaan en hem zo te volgen. Dit getal kan vervolgens door andere websites worden uitgelezen. Op deze manier kan HSTS ook als trackingmechanisme worden gebruikt.

Om gebruikers meer privacy te geven hebben browsers sinds enige tijd een incognito-mode of private browsing toegevoegd. Hierbij worden bestaande cookies niet met bezochte websites gedeeld en kan de gebruiker de cookies wissen waardoor hij online gevolgd kan worden. Omdat HSTS een beveiligingsmaatregel is en eigenlijk niet voor tracking bedoeld is, gaan browsers er anders mee om dan met cookies het geval is.

Browsers

Sommige browsers zoals Google Chrome, Firefox en Opera proberen dit probleem op te lossen door zowel opgeslagen cookies als HSTS-flags te verwijderen. Volgens Greenhalgh worden bestaande HSTS-flags, in tegenstelling tot cookies, wel met andere websites gedeeld, ook al heeft de gebruiker incognito-mode of private browsing ingeschakeld. In het geval van Safari schijnt het probleem nog groter te zijn, omdat Safari-gebruikers op een Apple-apparaat geen mogelijkheid hebben om de HSTS-flags te verwijderen. Ze worden zelfs gesynchroniseerd met iCloud, zodat ze kunnen worden teruggeplaatst als de gebruiker zijn toestel wist.

"Ik weet niet of de techniek in het wild wordt gebruikt om gebruikers te volgen, hoewel dat niet wil zeggen dat dit niet zo is", zegt Greenhalgh. Hij roept de technische gemeenschap op om te kijken hoe het trackinggedeelte kan worden verholpen, terwijl de waarde van HSTS behouden blijft. In een reactie stelt het Google Chrome Security Team dat er wel maatregelen aan de browser zijn toegevoegd om het probleem aan te pakken, maar dat het uiteindelijk een afweging tussen security en privacy is. Deze vorm van "fingerprinting" zou dan ook niet zijn op te lossen, tenzij er fundamentele veranderingen worden doorgevoerd aan de manier waarop het web werkt. "

Update 7 januari

Greenhalgh laat vandaag in een update van zijn artikel weten dat het probleem niet meer speelt bij Firefox 34. "In tegenstelling tot Google Chrome heeft Firefox privacy boven veiligheid verkozen en neemt HSTS niet meer mee naar privévensters", aldus de onderzoeker.

Reacties (8)
05-01-2015, 13:01 door Anoniem
Waar worden deze hsts-flags opgeslagen op de computer?

Erikbccy7%c
05-01-2015, 13:04 door Anoniem
Dat is dan wel weer een voordeel van IE. HSTS wordt nog niet ondersteund.
05-01-2015, 13:53 door Anoniem
Het web zit toch iedere keer weer vol met de meest vreemde faalacties. Hoe krijgen ze het toch steeds weer voorelkaar? Het is wel weer creatief hoor.
05-01-2015, 14:36 door Anoniem
Door Anoniem: Het web zit toch iedere keer weer vol met de meest vreemde faalacties. Hoe krijgen ze het toch steeds weer voorelkaar? Het is wel weer creatief hoor.
Omdat het internet ongeveer het meest ingewikkelde ding ooit door mensen ontworpen en niemand begrijpt het helemaal. Dan glippen dingen erdoor. Niet is perfect, en vooral mensen niet.

Alleen deze aanval is mij nog niet duidelijk. Het klopt dat incognito mode een bit data lekt per site, maar de aanvaller kan niet kiezen welke sites jij bezoekt, dus hoe kan dat een unieke code opleveren?
05-01-2015, 15:31 door Anoniem
Op iOS met Private mode en "deny all cookies" zie ik in Safari toch bewaarde cookies. Heb nooit echt kunnen achterhalen waar die vandaan komen, maar google.com zit er iedere keer tussen en dat is nu juist de ergste die ik absolut niet meer als 1 dag in m'n browser.
iCab mobile kan meen ik de cookies automatisch verwijderen na een aantal uren.
05-01-2015, 18:59 door Anoniem
Door Anoniem: Op iOS met Private mode en "deny all cookies" zie ik in Safari toch bewaarde cookies. Heb nooit echt kunnen achterhalen waar die vandaan komen, maar google.com zit er iedere keer tussen en dat is nu juist de ergste die ik absolut niet meer als 1 dag in m'n browser.
iCab mobile kan meen ik de cookies automatisch verwijderen na een aantal uren.
Wellicht iets van Safe Browsing? Bij Firefox wordt door het aanvinken van "Block reported attack sites" en "Block reported web forgeries" een request naar Google gedaan, wat weer een cookie plaatst.
05-01-2015, 19:35 door [Account Verwijderd] - Bijgewerkt: 05-01-2015, 19:40
[Verwijderd]
07-01-2015, 16:48 door Anoniem
Dit artikel is onvolledig want:

In Firefox 34 is de omgang met hsts-headers aangepast, waardoor het probleem niet meer is te misbruiken; dus in incognitomodus kunnen gebruikers niet meer worden geïdentificeerd. In Chrome en Opera werkt de methode van Greenhalgh nog wel, al worden de headers daarbij gewist als de gebruiker zijn cookies verwijdert. In de Safari-browser op de iPad en iPhone kan dat echter niet, waardoor die browser het kwetsbaarst is voor het beveiligingsprobleem.

Bron: "https://tweakers.net/nieuws/100647/veilige-browserfeature-laat-websites-gebruikers-volgen-in-incognitomodus.html"

Nog een reden om bij Firefox te blijven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure