Alfonso Maruccia

Tracciamento, supercookie alla riscossa

Un nuovo tool permette di tenere traccia delle abitudini di navigazione degli utenti anche in modalità di navigazione anonima. Il problema riguarda tutti i browser più recenti, a esclusione delle ultime release di Firefox

Roma - Il ricercatore di sicurezza Sam Greenhalgh ha ideato un nuovo meccanismo per il tracciamento delle abitudini di navigazione sul Web, un sistema chiamato HSTS Super Cookies che permette di eseguire il fingerprinting degli utenti anche nel caso in cui questi navigassero in modalità "anonima".

Il problema del fingerprinting e del tracciamento a mezzo di super cookie è noto e dibattuto da tempo, e nel caso del nuovo exploit si parla di sfruttare una vulnerabilità all'interno del protocollo HTTP Strict Transport Security per identificare univocamente gli utenti nonostante la presenza di una connessione cifrata su protocollo HTTPS.

La tecnologia HTTP STS serve a confermare l'autenticità del server a cui l'utente è connesso tramite HTTPS, ma Greenhalgh è riuscito a sfruttarla per generare nuovi super cookie per il tracciamento: l'uso della modalità di navigazione anonima, oramai disponibile in tutti i browser maggiori, non mette a riparo dal problema.
La vulnerabilità scovata da Greenhalgh è presente all'interno di tutte le versioni di Chrome, Safari e nelle versioni di Firefox precedenti alla release 33: la cancellazione dei (super) cookie salvati dai siti Web sul client è sempre disponibile, almeno per quanto riguarda i computer, mentre su gadget mobile la pratica non sembra essere altrettanto efficace.

Alfonso Maruccia
Notizie collegate
19 Commenti alla Notizia Tracciamento, supercookie alla riscossa
Ordina
  • Si parla anche di fingerprinting... a meno che il browser non camuffi le informazioni non c'e' disabilitazione di cookies che tenga:

    http://blog.spiderlabs.com/2014/02/modsecurity-adv...
    non+autenticato
  • Google Chrome lo dice fin dall' inizio che anche se la navigazione è anonima, non si nascondono i dati a datore di lavoro, ISP, o siti web visitati, quindi si può dire che è già esplicitamente dichiarata la presenza di cookie.
    -----------------------------------------------------------
    Modificato dall' autore il 11 gennaio 2015 10.29
    -----------------------------------------------------------
  • che pure che navigo in modalità anonima, ricorda sempre la mia ultima ricerca!!!
    non+autenticato
  • - Scritto da: Frigghenaue i
    > che pure che navigo in modalità anonima, ricorda
    > sempre la mia ultima
    > ricerca!!!

    "granny"?
    non+autenticato
  • Prima o poi la gente capira' che a furia di porgere le terga alla multinazionale di turno, arriva qualcuno che appoggia e spinge.

    L'unico futuro possibile e' quello del software libero, l'unico che non deve piegarsi ad interessi di parte, l'unico che fa quello che dice, l'unico che consente di verificare quello che viene fatto.

    Continuate pure a guardare i siti porno con IE, ma non lamentatevi poi se lo sanno tutti e vi ridono dietro.
  • - Scritto da: panda rossa
    > Prima o poi la gente capira' che a furia di
    > porgere le terga alla multinazionale di turno,
    > arriva qualcuno che appoggia e
    > spinge.
    >
    > L'unico futuro possibile e' quello del software
    > libero, l'unico che non deve piegarsi ad
    > interessi di parte, l'unico che fa quello che
    > dice, l'unico che consente di verificare quello
    > che viene
    > fatto.
    >
    > Continuate pure a guardare i siti porno con IE,
    > ma non lamentatevi poi se lo sanno tutti e vi
    > ridono
    > dietro.

    Comprendo che sei colmo di "astice" Occhiolino nei confronti di Windows ma IE non supporta il "cookie" HSTS (HTTP Strict Transport Security) e quindi non rientra nei browser in quelli affetti.
    non+autenticato
  • - Scritto da: Kris
    > Comprendo che sei colmo di "astice" Occhiolino nei
    > confronti di Windows ma IE non supporta il
    > "cookie" HSTS (HTTP Strict Transport Security) e
    > quindi non rientra nei browser in quelli
    > affetti.
    Gli unici a subire senza possibilità di replica anche in questo sono gli utonti Apple, visto che in iOs non è possibile eliminare i cookies.
    non+autenticato
  • in realtà io ho iOS ed a volte elimino i cookie manualmente
  • - Scritto da: qwertyuiop
    > - Scritto da: Kris
    > > Comprendo che sei colmo di "astice" Occhiolino nei
    > > confronti di Windows ma IE non supporta il
    > > "cookie" HSTS (HTTP Strict Transport
    > Security)
    > e
    > > quindi non rientra nei browser in quelli
    > > affetti.
    > Gli unici a subire senza possibilità di replica
    > anche in questo sono gli utonti Apple, visto che
    > in iOs non è possibile eliminare i
    > cookies.
    certo che è possibile, forse sei tu che non sai farlo, abituato ai chiccodroid.
    non+autenticato
  • - Scritto da: Kris
    > - Scritto da: panda rossa
    > > Prima o poi la gente capira' che a furia di
    > > porgere le terga alla multinazionale di turno,
    > > arriva qualcuno che appoggia e
    > > spinge.
    > >
    > > L'unico futuro possibile e' quello del software
    > > libero, l'unico che non deve piegarsi ad
    > > interessi di parte, l'unico che fa quello che
    > > dice, l'unico che consente di verificare quello
    > > che viene
    > > fatto.
    > >
    > > Continuate pure a guardare i siti porno con IE,
    > > ma non lamentatevi poi se lo sanno tutti e vi
    > > ridono
    > > dietro.
    >
    > Comprendo che sei colmo di "astice" Occhiolino nei
    > confronti di Windows ma IE non supporta il
    > "cookie" HSTS (HTTP Strict Transport Security) e
    > quindi non rientra nei browser in quelli
    > affetti.

    Guarda che Maruccia e' stato chiarissimo in proposito:

    "Il problema riguarda tutti i browser più recenti, a esclusione delle ultime release di Firefox"
  • Si intende che FF è l'unico non vulnerabile tra quelli compatibili con HSTS. IE è così indietro che non è compatibile con HSTS, per forza di cose quindi non è vulnerabile.
    non+autenticato
  • - Scritto da: Esder
    > Si intende che FF è l'unico non vulnerabile tra
    > quelli compatibili con HSTS. IE è così indietro
    > che non è compatibile con HSTS, per forza di cose
    > quindi non è
    > vulnerabile.

    Specifichiamo meglio: non e' vulnerabile per quanto riguarda questa cosa qua.
    Per quanto riguarda il resto, purtroppo c'e' un limite di 7000 caratteri in questo forum che impedisce di postare l'elenco.
  • - Scritto da: panda rossa
    > Specifichiamo meglio: non e' vulnerabile per
    > quanto riguarda questa cosa
    > qua.
    > Per quanto riguarda il resto, purtroppo c'e' un
    > limite di 7000 caratteri in questo forum che
    > impedisce di postare
    > l'elenco.
    Puoi suddividerle in più post...
    non+autenticato
  • > Puoi suddividerle in più post...

    Può anche mettere un link...

    Nel frattempo ha spostato il paletto, visto che questa falla IE non la ha allora tiriamo in mezzo le altre.
    Io farei un articolo al giorno solo per Panda Rossa, sezione "Sfogatoio", ci mettiamo dentro le paorole Microsoft, windows e IE, a rotazione, così a caso, e poi leggiamo i commenti. Per lo stesso principio farei altri articoli che parlano uno d Apple, uno di Android ed uno gi linux, così c'è pane per tutti i denti.

    Ultima nota tornando in-topic: Firefox non ha la falla sull'ultima release, ma l'aveva prima, in altre parole era bacato come tutti gli altri prima degli aggiornamenti.
    non+autenticato