Tu espacio (y el mío)

Mundo Viperino – Alba Lobera V.

  • Categorías

  • Bienvenidos a #MundoViperino

  • Educomunicación

  • Radio Viperina

  • Twitéame

HSTS Super Cookies: Cómo te pueden espiar la navegación

Posted by MundoViperino en 6 enero, 2015

El pasado 2 de Enero el investigador Sam Greenhalgh ha publicado una Prueba de Concepto que lleva un paso más allá cómo los sitios web de Internet y, en concreto las empresas de publicidad, pueden utilizar SuperCookies para saber quién eres. Esto va mucho más allá que las EverCookies – que permiten a un sitios crear cookies en una gran cantidad de sitios del navegador web haciendo muy complicado para el usuario eliminarlos todos – ya que lo que utiliza son flags de la especificación HSTS (HTTP Strict Transport Security) para guardar un identificado que le permita al sitio reconocer al usuario desde cualquier web, incluso si navegas desde un navegador en modo anónimo o privado.
Figura 1: Cómo te pueden espiar los sitios web con SuperCookies
Cookies y Privacidad: Cookies, EverCookies & SuperCookies
El objeto de las cookies es guardar información en la sesión de navegación de un cliente. La información que se guarda en una cookie puede ser utilizada para identificar de forma unívoca a una persona, creado para ello un identificador único. Ese valor se puede leer desde el sitio web que lo creó cada vez que se visite la web. Sin embargo, las cookies se pueden borrar fácilmente y por tanto el sitio web no podría saber que una persona es la misma que visitó el sitio hace dos días.
Figura 2: Funcionamiento de las EverCookies
Para conseguir ponerle difícil las cosas al usuario se crearon las EverCookies, un sistema que utiliza no solo las cookies normales para guardar el identificador, sino que utiliza todas las opciones posibles para almacenar datos, que van desde el almacenamiento local en HTML5 hasta las cookies de plugins como Adobe Flash. Aún así, estas EverCookies podrían llegar a ser eliminadas todas si un usuario se lo empeña, o si cambia su navegación a modo Privado o Incógnito.
Figura 3: Identificador único creado en Google Chrome con SuperCookies
Con las SuperCookies esto es no es tan fácil, y es necesario que las implementaciones de Mozilla Firefox, Google Chrome o MicroSoft Internet Explorer cambien, ya que abusan del funcionamiento de la implementación de HSTS. Con HSTS, una web le puede indicar al navegador que siempre que se conecte a ella debe hacerlo usando HTTPS y no HTTP. Esta es una forma para ayudar a que los usuarios dejen de navegar bajo HTTP y pasen a hacerlo sobre HTTPS. Para ello, el servidor web le contesta al cliente con una serie de flags HTTPS que le hacen recordar al navegador esa configuración y ya siempre irá con HTTTPs el tráfico a esa web.
Figura 4: Identificador Único leído desde la SuperCookie en una sesión Incógnito
Entre esos flags, el sitio web puede guardar un Identificador Único utilizando el valor de Max-AGE, que además podrá ser leído desde cualquier pestaña, y desde cualquier navegación, incluso si esta navegación se hace desde otra instancia del navegador en modo Privado o Incógnito.
Doxing y desenmascaramiento
Según el investigador, el equipo de Chromium está viendo cómo puede solucionarlo pero que no es fácil, ya que hay que gestionar el equilibrio entre seguridad y usabilidad. Lo cierto es que con esto, se acaba de abrir un nuevo mundo de posibilidades para el Doxing, es decir, para el desenmascaramiento de quién está detrás de una determinada identidad falsa en redes sociales o visitas a la web, ya que poner este Identificador ayudaría al sitio web a tener todos los datos de todas las sesiones de navegación que se hagan contra esa web desde un navegador concreto.
Saludos Malignos!
 
Anuncios

Escribe tu comentario aquí

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: