The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новый вид атак по определению ранее открытых в браузере сайтов и отслеживанию посетителей

27.10.2015 23:49

На конференции Toorcon продемонстрирован новый вид атаки на браузеры, позволяющей выяснить какие сайты пользователь посещал ранее. Атака применима к сайтам, на которых включена поддержка протокола HSTS для автоматизации проброса на области HTTPS при запросе ресурса с использованием протокола HTTP, и проявляется даже если пользователь очистил историю посещений. Для демонстрации уязвимости подготовлена специальная страница, анализирующая открытие в прошлом некоторых популярных ресурсов. Проблема успешно проявляется в Firefox и Chrome, но также затрагивает и другие браузеры, поддерживающие HSTS. В Tor Browser проблема не проявляется из-за ограничения точности таймера.

Техника атаки основывается на том, что CSP запросив несуществующее изображение на сайте с использованием протокола HTTP, в случае если на этом сайте выставлен флаг HSTS и сайт открывался ранее, его параметры HSTS прокэшированы и ответ будет возвращён после одного запроса (URL сразу будет запрошен по HTTPS, минуя запрос по HTTP). Если сайт не был открыт ранее, вначале будет выполнен запрос по HTTP, а затем, после получения заголовка HSTS, браузер отправит повторный запрос с использованием HTTPS, т.е. операция займёт ощутимо больше времени. Оценив время задержки кодом на JavaScript можно с достаточно большой вероятностью определить открывал пользователь проверяемый сайт ранее или нет.

Интересно, что разработчикам Chrome около года назад сообщили о похожем методе определения факта открытия сайтов и данная проблема до сих пор не решена. Если обратиться к 443 порту сайта по протоколу HTTP (http://example.com:443), такое обращение приведёт к ошибке, если сайт не открывался ранее. Если же сайт был открыт в прошлом и использует флаг HSTS, то браузер автоматически заменит ссылку на https://example.com:443 и запрос будет выполнен успешно.

Ещё одна уязвимость связана с работой механизма привязки открытых ключей (HPKP, HTTP Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Данный механизм можно использовать в Chrome или Firefox для отслеживания посетителей без применения cookie. Используя HPKP под видом сертификата можно выполнить привязку произвольного идентификатора, уникального для каждого посетителя. В дальнейшем эта привязка может применяться для достоверного определения повторного посещения сайта данным пользователем по аналогии с тем как для идентификации используются cookie. Особенность состоит в том, что привязка сохраняется независимо от удаления cookie, а удаление HPKP-записей является неочевидным действием, требующим обращения к внутренней странице (chrome://net-internals/#hpkp) для конкретного домена (список доменов с привязкой посмотреть нельзя).

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: В Firefox планируют реализовать контекстные контейнеры
  3. OpenNews: Ресурс, демонстрирующий невозможность сохранения конфиденциальности в web-браузерах
  4. OpenNews: Разработчики Firefox закрыли возможность подглядывания через историю посещений
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/43209-browser
Ключевые слова: browser
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (60) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:23, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Твою ж мать...
     
     
  • 2.16, Аноним (-), 02:16, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тоже мне проблема. Я использую фф как основной браузер, и мне на указанной странице назвали всего 2 сайта. И это при том, что точность оказалась 50%. Этот новый вид атаки однозначно опасен!

    Хотя, может быть, на хромиумах всё иначе, но эта "атака" не особо внушает опасения. Кстати, я использую NoScript и HTTPS Everywhere %)

     
     
  • 3.25, Аноним (-), 07:59, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > ... мне на указанной странице назвали всего 2 сайта. И это при том, что точность оказалась 50%. Этот новый вид атаки однозначно опасен!

    Мне оно выдало целую портянку всяко-разных сайтов, названия которых я видел первый раз в жизни, при том, что я успел побывать лишь на опеннете, и весь кэш браузера был до того вычищен абсолютно. Смеялсо от души!

     
     
  • 4.27, Аноним (-), 08:07, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Важное уточнение: опеннета в списке не оказалось. :D
    Это страшная атака, и мы все умрем! :))

    PS. Браузер palemoon + куча дополнений.

     
     
  • 5.29, kai3341 (ok), 09:07, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Важное уточнение: опеннета в списке не оказалось. :D

    Новость не читай @ комментарий оставляй
    Почему опеннета в списке не оказалось? В чём суть уязвимости?

     
  • 5.44, Аноним (-), 12:12, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    - Опеннета в списке не оказалось.

    Сказано же - HSTS

     
  • 4.43, Анонимец (?), 12:11, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Подтверждаю, атака очень страшна.
    Зайдя на тестовую страницу получил в колонке "Sites you've probably visited:" список из 152 адресов, которые никогда в жизни не посещал :)

    Стоят HTTPS Everywere и Ghostery

     
  • 4.45, Аноним (-), 13:22, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну чего, поздравляю у вас вирус, а то и целый букет)
    значит эти сайты посещало какое-то из дополнений браузера
     
     
  • 5.56, Анонимец (?), 08:13, 29/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    вы много таких вирусов под linux знаете? :)
     
     
  • 6.57, Аноним (-), 13:35, 29/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ghostery же
     
  • 6.59, arisu (ok), 17:45, 29/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > вы много таких вирусов под linux знаете? :)

    да немало. обычно в креслах растут.

     
  • 3.30, kai3341 (ok), 09:19, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Тоже мне проблема. Я использую фф как основной браузер, и мне на указанной странице назвали всего 2 сайта. И это при том, что точность оказалась 50%. Этот новый вид атаки однозначно опасен!
    > Хотя, может быть, на хромиумах всё иначе, но эта "атака" не особо внушает опасения. Кстати, я использую NoScript и HTTPS Everywhere %)

    Прочитай новость ещё раз. Суть атаки -- идентификация пользователя^W браузера. Именно через HTTPS, потому HTTPS Everywhere лишь усугубляет ситуацию. Кстати, а как ты пролез на Opennet? Отключил блокирование HTTP-запросов? Ну и толку теперь от твоего HTTPS Everywhere, если ты его отключил. //Та же х?йня просто.
    Мы не знаем, как именно она может применяться, но вот варианты:
    1) Сайт идентифицирует пользователя по "отпечатку" посещённых ресурсов (и передаёт информацию АНБ, лол).
    2) Сайт обнаруживает, например, пользователей, посещавших пиратскую бухту, и ограничивает их возможности.
    3) ...
    4) PROFIT!!

     
     
  • 4.34, Аноним (-), 10:46, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кстати, а как ты пролез на Opennet? Отключил блокирование HTTP-запросов?

    Opennet внезапно поддерживает https.

     
  • 2.20, Какаянахренразница (ok), 05:36, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Твою ж мать...

    Здесь та же фигня.

     

  • 1.3, Аноним (-), 00:41, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Демонстрационная страница выдала набор статистически наиболее часто посещаемых сайтов исходя из настроек языка, используемой операционной системы и браузера. Только вот незадача - ни на одном из них я никогда не бывал. О тематике догадываюсь исходя из названий )))
     
     
  • 2.4, Аноним (-), 00:46, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У меня всё достаточно точно определил. Может косвенно с этих сайтов у вас что-то открывалось?
     
     
  • 3.5, Who (?), 00:49, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У меня только letsencrypt.org совпал, остальное - какой-то хлам.
     
  • 3.6, ы (?), 00:51, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    а у меня вообще ничего не определил - список сайтов есть, но я такие не посещал
     
     
  • 4.23, mkostik (?), 07:37, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > а у меня вообще ничего не определил - список сайтов есть, но
    > я такие не посещал

    Аналогично

     
  • 4.26, fig (?), 08:05, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да фигня какая-то. Похоже на первоапрельский прикол
     
  • 4.36, qwerty (??), 11:11, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно это список сайтов с которых грузились баннеры?
     
  • 4.46, Аноним (-), 14:48, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Удалось заставить работать, пришлось полностью отключит adblock plus в ff. Почти как вирусы под linux, под которые надо настроить окружение.
     
  • 3.14, Аноним (-), 02:07, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Пальцем в небо. Конечно все (кроме одного) эти сайты я когда-то открывал, но я открывал и сайты из правого списка, которые типа не посещал.
     
  • 2.7, Аноним (-), 00:53, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Возьмите сайт из правой части. Сходите туда. Вернитесь взад. Он окажется слева. Пробовал на qiwi.ru
     
     
  • 3.10, Аноним (-), 01:13, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Зашёл на https://savecrypto.org/ из правой части.

    Потом перезагрузил эту тестовую страницу, выдал мне очередную ерунду:
    notepad-plus-plus.org
    giustizia.it
    www.ing-diba.de
    www.adreactor.com
    briian.com
    bitcoinwisdom.com
    pass.yandex.kz
    tjournal.ru

    Мой UA: Mozilla/5.0 (X11; FreeBSD amd64; rv:36.0) Gecko/20100101 Firefox/36.0 SeaMonkey/2.33.1

    Может у вас в Windows с Chrome всё и работает, так вам и надо, пользуйтесь нормальными ОС и браузерами и ваше безопасность и конфидециальность буду в порядке.

     
     
  • 4.13, Аноним (-), 01:51, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А может вы просто забыли что когда переходили на эти сайты или даже не знали, что на какой-то странице что-то загружалось?


    Mozilla/5.0 (X11; Linux i686; rv:41.0) Gecko/20100101 Firefox/41.0

     
     
  • 5.15, Аноним (-), 02:10, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Специально поискал в истории и куках, нету этих сайтов и в помине. А вот с браузером Firefox такая штука реально вышла, зашёл на privat24.ua, и после этого на ту страницу и он был первым в левом списке. Но то что Firefox скатился и теперь не намного лучше Хромого я и так знал, а теперь ещё раз убедился.
     
  • 4.40, cmp (ok), 11:50, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Firefox/36.0

    Дружище, 36 фокс уже протух и воняет.

    > так вам и надо, пользуйтесь нормальными ОС и браузерами

    Нормальность твоя ясна

     
  • 3.55, Аноним (-), 00:58, 29/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Возьмите сайт из правой части. Сходите туда. Вернитесь взад. Он окажется слева.
    > Пробовал на qiwi.ru

    Взял из правой части adblockplus.org, зашел, перегрузил страницу - adblockplus.org так же в правой части.


     

  • 1.8, Аноним (-), 01:00, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >www.kickstarter.com
    >lever.co
    >www.yugster.com
    >tripcase.com
    >www.blueapron.com
    >www.straighttalk.com
    >stacksocial.com

    Никогда в жизни на них не был.

    UA: Mozilla/5.0 (X11; FreeBSD amd64; rv:36.0) Gecko/20100101 Firefox/36.0 SeaMonkey/2.33.1

     
     
  • 2.12, arzeth (ok), 01:37, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Значит, на других (посещённых) сайтах были картинки/счётчики/лайкокнопки с вот этих сайтов.
     
     
  • 3.17, ы (?), 02:35, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ага, самих этих посещённых сайтов нету, а лайкокнопки с левых сайтов есть
     

  • 1.9, Аноним (-), 01:11, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Выставил в Firefox галку в "удалять настройки сайтов при выходе" и ничего эта страница не показывает. А до этого, если походить по сайтам из правой колонки, то они потом появлялисть в левой.
     
     
  • 2.18, Аноним (-), 02:56, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Аналогично. Настройки сайтов (Site Preferences) подчищает HSTS хвосты.
    Mozilla/5.0 (X11; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0
     
     
  • 3.38, tr (?), 11:24, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Может, я что-то недопонимаю, но разве подчистка HSTS-следов не приводит к его (HSTS) бесполезности?
     
     
  • 4.54, Аноним (-), 23:47, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Нет.
     

  • 1.11, Аноним (-), 01:30, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Please disable HTTPS Everywhere for best results.

    Fail. Из-за этого слева какой-то рандом.

     
  • 1.19, arisu (ok), 04:06, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    как обычно ничего не произошло. а потому что jsavascript — это не данность, а привилегия.
     
  • 1.21, Аноним (-), 06:07, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Насыпал три десятка сайтов, из которых мне не знаком ни один. Проверял со смартфона.
     
  • 1.22, Аноним (-), 07:17, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не работает
    http://images.vfl.ru/ii/1446005756/28f72c91/10312054.png


     
  • 1.24, Аноним (-), 07:51, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Стабильно показывает, что я был на всех сайтах, кроме одного случайного. Наверно надо вырубить request policy
     
  • 1.31, Нанобот (ok), 09:43, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новый вид атак, ещё более надуманый, чем предыдущие.
    Раз исследователи начали высасывать из пальца такие атаки, значит безопасность браузеров уже на очень хорошем уровне.
     
  • 1.33, Orsi (?), 09:58, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Firefox , SiteSecurityServiceState.txt - "только чтение" , заглянул на три десятка (сколько терпения хватило) сайтов из правого списка , перезагрузил браузер - не определилось ничего .
     
  • 1.35, Аноним (-), 11:03, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Среди сайтов, которые "Sites you've probably visited:"
    ничего нет.

    Но среди сайтов, которые я вероятнее всего не посещал
    есть те, которые я посещал.

    Или эксплойт лажа, или IE11 - суперзащищенный браузер

     
     
  • 2.39, Orsi (?), 11:33, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    IE не поддерживает HSTS - определять нечего .
     

  • 1.37, nhjhjo (?), 11:21, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не работает у меня. утка
     
  • 1.41, Mirraz (ok), 11:52, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из-за HTTPS-Everywhere выдал много лишнего мусора, но и пару специфичных сайтов тоже показал. Так что, к сожалению, сойдёт за очередной fingerprint.
    А вот с HPKP надо что-то срочно делать.
     
  • 1.42, Аномин (?), 12:11, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Даже после разрешения скриптов, сайт, вселяющий благоговейный ужас в хомячков, выдал мне портянку исключительно из сайтов, на которые я не хожу. Оч-чень опасно...
     
  • 1.47, Аноним (-), 14:57, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чудовищная уязвимость.
    Уровня a:visited, просто -_-
    Уже 20 минут пытается вычислить где же я был.

        >wikitech.wikimedia.org
        >land.nrw

    Офигеть просто.
    История в браузере года с 2010го не очищалась.

    >Sites you probably haven't visited:
    >qiwi.ru

    Што. Час назад заходил.
    В 43м ФФ может поломали чего?

     
  • 1.48, Аноним (-), 15:22, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Без HTTPS Everywhere работает. Список слева полностью верный:
    vine.co
    noscript.net
    meduza.io
    yande.re
    www.englishforums.com
    yadi.sk
    www.maketecheasier.com
    www.reddit.com
    vc.ru
    tjournal.ru
    И ещё несколько, которые не хочу палить.
     
     
  • 2.49, Я (??), 15:35, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > И ещё несколько, которые не хочу палить.

    porno.com мы и так знаем

     
     
  • 3.51, Radjah (?), 16:31, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > yande.re
    > porno.com

    Ну у кого что.

     
  • 2.52, arisu (ok), 17:27, 28/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > yande.re

    спасибо. единственный полезный камент из всего хлама.

     
  • 2.63, Аноним (-), 18:07, 31/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Результаты сомнительны: дважды зайдя на этот сайт — вы уже "посетили" тот, который проверяют.
     

  • 1.50, Sluggard (ok), 16:25, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у меня пусто на тестовой страничке. Туда с отключенными NoScript и Policeman надо ходить что ли?
     
  • 1.53, Аноним (-), 18:10, 28/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    80% сайтов тестовая страница определяет верно. Остальных, возможно, я попросту не помню.
    ff 38.2
     
  • 1.58, Anonplus (?), 15:01, 29/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В новости говорится, что помогает снижение точности таймера.

    // Отключает User Timing API - доступ к высокочастотному таймеру, при помощи которого может быть осуществлено прослушивание процессорного кэша из непривилегированного JS-кода.
    // https://trac.torproject.org/projects/tor/ticket/16336
    // http://www.html5rocks.com/en/tutorials/webperformance/usertiming/
    // https://www.linux.org.ru/news/security/11541326
    // http://arxiv.org/pdf/1502.07373v2.pdf
    user_pref("dom.enable_user_timing", false);
    user_pref("dom.performance.enable_user_timing_logging", false);

    Это оно?

     
     
  • 2.60, arisu (ok), 17:46, 29/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    как хорошо, что у нас в Pale Moon такой фигни нет и не было.
     
     
  • 3.70, Аноним (-), 21:23, 29/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ошибаетесь. Первый по дефолту - true, второй - false.
     
     
  • 4.71, arisu (ok), 04:57, 30/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ты бы ещё лет 15 подождал перед написанием ответа.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру