The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

27.10.2015 23:49  Новый вид атак по определению ранее открытых в браузере сайтов и отслеживанию посетителей

На конференции Toorcon продемонстрирован новый вид атаки на браузеры, позволяющей выяснить какие сайты пользователь посещал ранее. Атака применима к сайтам, на которых включена поддержка протокола HSTS для автоматизации проброса на области HTTPS при запросе ресурса с использованием протокола HTTP, и проявляется даже если пользователь очистил историю посещений. Для демонстрации уязвимости подготовлена специальная страница, анализирующая открытие в прошлом некоторых популярных ресурсов. Проблема успешно проявляется в Firefox и Chrome, но также затрагивает и другие браузеры, поддерживающие HSTS. В Tor Browser проблема не проявляется из-за ограничения точности таймера.

Техника атаки основывается на том, что CSP запросив несуществующее изображение на сайте с использованием протокола HTTP, в случае если на этом сайте выставлен флаг HSTS и сайт открывался ранее, его параметры HSTS прокэшированы и ответ будет возвращён после одного запроса (URL сразу будет запрошен по HTTPS, минуя запрос по HTTP). Если сайт не был открыт ранее, вначале будет выполнен запрос по HTTP, а затем, после получения заголовка HSTS, браузер отправит повторный запрос с использованием HTTPS, т.е. операция займёт ощутимо больше времени. Оценив время задержки кодом на JavaScript можно с достаточно большой вероятностью определить открывал пользователь проверяемый сайт ранее или нет.

Интересно, что разработчикам Chrome около года назад сообщили о похожем методе определения факта открытия сайтов и данная проблема до сих пор не решена. Если обратиться к 443 порту сайта по протоколу HTTP (http://example.com:443), такое обращение приведёт к ошибке, если сайт не открывался ранее. Если же сайт был открыт в прошлом и использует флаг HSTS, то браузер автоматически заменит ссылку на https://example.com:443 и запрос будет выполнен успешно.

Ещё одна уязвимость связана с работой механизма привязки открытых ключей (HPKP, HTTP Public Key Pinning), позволяющего явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Данный механизм можно использовать в Chrome или Firefox для отслеживания посетителей без применения cookie. Используя HPKP под видом сертификата можно выполнить привязку произвольного идентификатора, уникального для каждого посетителя. В дальнейшем эта привязка может применяться для достоверного определения повторного посещения сайта данным пользователем по аналогии с тем как для идентификации используются cookie. Особенность состоит в том, что привязка сохраняется независимо от удаления cookie, а удаление HPKP-записей является неочевидным действием, требующим обращения к внутренней странице (chrome://net-internals/#hpkp) для конкретного домена (список доменов с привязкой посмотреть нельзя).

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: В Firefox планируют реализовать контекстные контейнеры
  3. OpenNews: Ресурс, демонстрирующий невозможность сохранения конфиденциальности в web-браузерах
  4. OpenNews: Разработчики Firefox закрыли возможность подглядывания через историю посещений
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: browser
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 00:23, 28/10/2015 [ответить] [смотреть все]
  • +14 +/
    Твою ж мать...
     
     
  • 2.16, Аноним, 02:16, 28/10/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    Тоже мне проблема Я использую фф как основной браузер, и мне на указанной стран... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Аноним, 07:59, 28/10/2015 [^] [ответить] [смотреть все]  
  • +6 +/
    > ... мне на указанной странице назвали всего 2 сайта. И это при том, что точность оказалась 50%. Этот новый вид атаки однозначно опасен!

    Мне оно выдало целую портянку всяко-разных сайтов, названия которых я видел первый раз в жизни, при том, что я успел побывать лишь на опеннете, и весь кэш браузера был до того вычищен абсолютно. Смеялсо от души!

     
     
  • 4.27, Аноним, 08:07, 28/10/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Важное уточнение опеннета в списке не оказалось D Это страшная атака, и мы в... весь текст скрыт [показать]
     
     
  • 5.29, kai3341, 09:07, 28/10/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Новость не читай комментарий оставляй Почему опеннета в списке не оказалось В... весь текст скрыт [показать]
     
  • 5.44, Аноним, 12:12, 28/10/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    - Опеннета в списке не оказалось.

    Сказано же - HSTS

     
  • 4.43, Анонимец, 12:11, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Подтверждаю, атака очень страшна Зайдя на тестовую страницу получил в колонке ... весь текст скрыт [показать]
     
  • 4.45, Аноним, 13:22, 28/10/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    ну чего, поздравляю у вас вирус, а то и целый букет значит эти сайты посещало к... весь текст скрыт [показать]
     
     
  • 5.56, Анонимец, 08:13, 29/10/2015 [^] [ответить] [смотреть все]  
  • +/
    вы много таких вирусов под linux знаете? :)
     
     
  • 6.57, Аноним, 13:35, 29/10/2015 [^] [ответить] [смотреть все]  
  • +/
    ghostery же
     
  • 6.59, arisu, 17:45, 29/10/2015 [^] [ответить] [смотреть все]  
  • +/
    да немало обычно в креслах растут ... весь текст скрыт [показать]
     
  • 3.30, kai3341, 09:19, 28/10/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Прочитай новость ещё раз Суть атаки -- идентификация пользователя W браузера И... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 10:46, 28/10/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Opennet внезапно поддерживает https ... весь текст скрыт [показать]
     
  • 2.20, Какаянахренразница, 05:36, 28/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > Твою ж мать...

    Здесь та же фигня.

     
  • 1.3, Аноним, 00:41, 28/10/2015 [ответить] [смотреть все]  
  • +1 +/
    Демонстрационная страница выдала набор статистически наиболее часто посещаемых с... весь текст скрыт [показать]
     
     
  • 2.4, Аноним, 00:46, 28/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У меня всё достаточно точно определил Может косвенно с этих сайтов у вас что-то... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, Who, 00:49, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    У меня только letsencrypt.org совпал, остальное - какой-то хлам.
     
  • 3.6, ы, 00:51, 28/10/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    а у меня вообще ничего не определил - список сайтов есть, но я такие не посещал
     
     
  • 4.23, mkostik, 07:37, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Аналогично... весь текст скрыт [показать]
     
  • 4.26, fig, 08:05, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Да фигня какая-то. Похоже на первоапрельский прикол
     
  • 4.36, qwerty, 11:11, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Возможно это список сайтов с которых грузились баннеры?
     
  • 4.46, Аноним, 14:48, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Удалось заставить работать, пришлось полностью отключит adblock plus в ff Почти... весь текст скрыт [показать]
     
  • 3.14, Аноним, 02:07, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Пальцем в небо Конечно все кроме одного эти сайты я когда-то открывал, но я о... весь текст скрыт [показать]
     
  • 2.7, Аноним, 00:53, 28/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Возьмите сайт из правой части Сходите туда Вернитесь взад Он окажется слева ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, Аноним, 01:13, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Зашёл на https savecrypto org из правой части Потом перезагрузил эту тестову... весь текст скрыт [показать]
     
     
  • 4.13, Аноним, 01:51, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    А может вы просто забыли что когда переходили на эти сайты или даже не знали, чт... весь текст скрыт [показать]
     
     
  • 5.15, Аноним, 02:10, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Специально поискал в истории и куках, нету этих сайтов и в помине А вот с брауз... весь текст скрыт [показать]
     
  • 4.40, cmp, 11:50, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Дружище, 36 фокс уже протух и воняет Нормальность твоя ясна ... весь текст скрыт [показать]
     
  • 3.55, Аноним, 00:58, 29/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Взял из правой части adblockplus org, зашел, перегрузил страницу - adblockplus o... весь текст скрыт [показать]
     
  • 1.8, Аноним, 01:00, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Никогда в жизни на них не был UA Mozilla 5 0 X11 FreeBSD amd64 rv 36 0 Gec... весь текст скрыт [показать]
     
     
  • 2.12, arzeth, 01:37, 28/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Значит, на других посещённых сайтах были картинки счётчики лайкокнопки с вот э... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, ы, 02:35, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    ага, самих этих посещённых сайтов нету, а лайкокнопки с левых сайтов есть
     
  • 1.9, Аноним, 01:11, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Выставил в Firefox галку в удалять настройки сайтов при выходе и ничего эта ст... весь текст скрыт [показать]
     
     
  • 2.18, Аноним, 02:56, 28/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Аналогично Настройки сайтов Site Preferences подчищает HSTS хвосты Mozilla 5... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, tr, 11:24, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Может, я что-то недопонимаю, но разве подчистка HSTS-следов не приводит к его H... весь текст скрыт [показать]
     
     
  • 4.54, Аноним, 23:47, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    Нет.
     
  • 1.11, Аноним, 01:30, 28/10/2015 [ответить] [смотреть все]  
  • +1 +/
    Fail Из-за этого слева какой-то рандом ... весь текст скрыт [показать]
     
  • 1.19, arisu, 04:06, 28/10/2015 [ответить] [смотреть все]  
  • +2 +/
    как обычно ничего не произошло. а потому что jsavascript — это не данность, а привилегия.
     
  • 1.21, Аноним, 06:07, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Насыпал три десятка сайтов, из которых мне не знаком ни один Проверял со смартф... весь текст скрыт [показать]
     
  • 1.22, Аноним, 07:17, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Не работает
    http://images.vfl.ru/ii/1446005756/28f72c91/10312054.png


     
  • 1.24, Аноним, 07:51, 28/10/2015 [ответить] [смотреть все]  
  • +1 +/
    Стабильно показывает, что я был на всех сайтах, кроме одного случайного Наверно... весь текст скрыт [показать]
     
  • 1.31, Нанобот, 09:43, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Новый вид атак, ещё более надуманый, чем предыдущие.
    Раз исследователи начали высасывать из пальца такие атаки, значит безопасность браузеров уже на очень хорошем уровне.
     
  • 1.33, Orsi, 09:58, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Firefox , SiteSecurityServiceState.txt - "только чтение" , заглянул на три десятка (сколько терпения хватило) сайтов из правого списка , перезагрузил браузер - не определилось ничего .
     
  • 1.35, Аноним, 11:03, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Среди сайтов, которые Sites you ve probably visited ничего нет Но среди сайт... весь текст скрыт [показать]
     
     
  • 2.39, Orsi, 11:33, 28/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    IE не поддерживает HSTS - определять нечего .
     
  • 1.37, nhjhjo, 11:21, 28/10/2015 [ответить] [смотреть все]  
  • +/
    не работает у меня. утка
     
  • 1.41, Mirraz, 11:52, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Из-за HTTPS-Everywhere выдал много лишнего мусора, но и пару специфичных сайтов тоже показал. Так что, к сожалению, сойдёт за очередной fingerprint.
    А вот с HPKP надо что-то срочно делать.
     
  • 1.42, Аномин, 12:11, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Даже после разрешения скриптов, сайт, вселяющий благоговейный ужас в хомячков, выдал мне портянку исключительно из сайтов, на которые я не хожу. Оч-чень опасно...
     
  • 1.47, Аноним, 14:57, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Чудовищная уязвимость Уровня a visited, просто -_- Уже 20 минут пытается вычисл... весь текст скрыт [показать]
     
  • 1.48, Аноним, 15:22, 28/10/2015 [ответить] [смотреть все]  
  • +/
    Без HTTPS Everywhere работает Список слева полностью верный vine co noscript n... весь текст скрыт [показать]
     
     
  • 2.49, Я, 15:35, 28/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > И ещё несколько, которые не хочу палить.

    porno.com мы и так знаем

     
     
  • 3.51, Radjah, 16:31, 28/10/2015 [^] [ответить] [смотреть все]  
  • +/
    > yande.re
    > porno.com

    Ну у кого что.

     
  • 2.52, arisu, 17:27, 28/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > yande.re

    спасибо. единственный полезный камент из всего хлама.

     
  • 2.63, Аноним, 18:07, 31/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Результаты сомнительны дважды зайдя на этот сайт 8212 вы уже посетили тот,... весь текст скрыт [показать] [показать ветку]
     
  • 1.50, Sluggard, 16:25, 28/10/2015 [ответить] [смотреть все]  
  • +/
    А у меня пусто на тестовой страничке. Туда с отключенными NoScript и Policeman надо ходить что ли?
     
  • 1.53, Аноним, 18:10, 28/10/2015 [ответить] [смотреть все]  
  • +/
    80 сайтов тестовая страница определяет верно Остальных, возможно, я попросту н... весь текст скрыт [показать]
     
  • 1.58, Anonplus, 15:01, 29/10/2015 [ответить] [смотреть все]  
  • +/
    В новости говорится, что помогает снижение точности таймера.

    // Отключает User Timing API - доступ к высокочастотному таймеру, при помощи которого может быть осуществлено прослушивание процессорного кэша из непривилегированного JS-кода.
    // https://trac.torproject.org/projects/tor/ticket/16336
    // http://www.html5rocks.com/en/tutorials/webperformance/usertiming/
    // https://www.linux.org.ru/news/security/11541326
    // http://arxiv.org/pdf/1502.07373v2.pdf
    user_pref("dom.enable_user_timing", false);
    user_pref("dom.performance.enable_user_timing_logging", false);

    Это оно?

     
     
  • 2.60, arisu, 17:46, 29/10/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    как хорошо, что у нас в Pale Moon такой фигни нет и не было.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor