offerte prime day amazon

Con HSTS anche in incognito si può essere tracciati

Con HSTS anche in incognito si può essere tracciati

La funzionalità di sicurezza HSTS potrebbe in realtà essere sfruttata per tracciare le azioni dell'utente anche con navigazione in incognito abilitata. Si tratta al momento attuale di un proof-of-concept ma l'argomento merita di essere tenuto sotto controllo

di pubblicata il , alle 09:01 nel canale Web
Firefox
 

La navigazione in incognito messa a disposizione da molti browser intende offrire all'utente la possibilità di non lasciare tracce della propria navigazione, tracce che, tra le altre cose, prevedono anche l'utilizzo di cookies salvati in locale. Attraverso i cookies viene attuato un controllo delle abitudini di navigazione dell'utente, il tutto più o meno all'insaputa di chi utilizza il PC e distrattamente accetta in modo passivo ogni messaggio di alert.

Pare però che anche la modalità in incognito possa essere aggirata e che, pur navigando in tal modo sul proprio PC, vengano salvati elementi utili a riconoscere in momenti successivi l'utente, in altre parole elementi che consentono la tracciabilità. E tutto ciò è possibile sfruttando una soluzione di sicurezza denominata HSTS (HTTP Strict Transport Security).

Spieghiamo in poche parole e con qualche approssimazione in cosa consiste HSTS per poi capire perché la navigazione in incognito non mette completamente al riparo l'utente. Nel momento in cui il sistema locale e il server si trovano a dialogare quest'ultimo può sfruttare HSTS per comunicare al browser che tutte le successive comunicazioni avverrano sfruttando una connessione sicura HTTPS.

Al browser Web viene assegnato un numero identificativo memorizzato in locale, e proprio questo pare essere il vero nodo del problema. Il ricercatore Sam Greenhalgh ha evidenziato come all'interno di HSTS vi sia un problema e realizzando un codice proof-of-concept ha dimostrato come sia possibile sfruttare il suddetto numero univoco assegnato al browser per effettuare il tracciamento.

Il problema è ulteriormente complicato dal fatto che questi super cookies generati attraverso HSTS risultano usabili anche da parte di altri server web e pagine online appositamente realizzate. Una trattazione più completa del processo è disponibile a questo indirizzo.

Siamo di fronte a un proof-of-concept ma non è da escludere che proprio questo meccanismo possa essere in futuro sfruttato per mettere in atto azioni più mirate e complesse. Internet Explorer è immune a questo problema perché non supporta HSTS, mentre Le recenti versioni di Chrome e di Safari sono vulnerabili. Solo Firefox a partire dalla release 34.05 pur offendo supporto a HSTS risulta immune al problema dimostrato da Sam Greenhalgh.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Eress12 Gennaio 2015, 09:30 #1
Ormai la sicurezza è diventata sinonimo di violazione di privacy e libertà.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^