Il ricercatore di sicurezza Sam Greenhalgh ha ideato un nuovo meccanismo per il tracciamento delle abitudini di navigazione sul Web, un sistema chiamato HSTS Super Cookies che permette di eseguire il fingerprinting degli utenti anche nel caso in cui questi navigassero in modalità “anonima”.
Il problema del fingerprinting e del tracciamento a mezzo di super cookie è noto e dibattuto da tempo, e nel caso del nuovo exploit si parla di sfruttare una vulnerabilità all’interno del protocollo HTTP Strict Transport Security per identificare univocamente gli utenti nonostante la presenza di una connessione cifrata su protocollo HTTPS.
La tecnologia HTTP STS serve a confermare l’autenticità del server a cui l’utente è connesso tramite HTTPS, ma Greenhalgh è riuscito a sfruttarla per generare nuovi super cookie per il tracciamento: l’uso della modalità di navigazione anonima, oramai disponibile in tutti i browser maggiori, non mette a riparo dal problema.
La vulnerabilità scovata da Greenhalgh è presente all’interno di tutte le versioni di Chrome, Safari e nelle versioni di Firefox precedenti alla release 33: la cancellazione dei (super) cookie salvati dai siti Web sul client è sempre disponibile, almeno per quanto riguarda i computer, mentre su gadget mobile la pratica non sembra essere altrettanto efficace.
Alfonso Maruccia
Ti potrebbe interessare
9 gen 2015