Современные браузеры "дают лишь иллюзию приватности"
Те же технологии, что делают нашу жизнь проще, делают её и менее безопасной. На недавней конференции Toorcon в Сан-Диего вновь была подмечена эта вечная истина, причём таким образом, который никому из нас не понравится. (Да, это очередная статья о безопасности личных данных и личности в Интернете).
Защита этой самой безопасности становится всё более трудным делом. Избавились от географической привязки при помощи VPN? Радоваться не стоит: в современных браузерах (тот же Firefox) есть сотни различных параметров, позволяющих вычленить конкретного человека из толпы других. Помимо таких банальностей, как идентификаторы операционной системы и разрешения экрана, там даже есть параметр, позволяющий отслеживать заряд аккумуляторной батареи ноутбука! Но и это ещё не всё. Оказывается, обнуление истории открытых страниц и удаление всех лежащих на виду файлов cookies из своего браузера абсолютно не является способом стать "другим человеком" в Сети.
Во-первых, речь идёт о том, что cookies как таковые - информация, сохраняемая сайтом на устройстве пользователя - могут быть крайне разнообразными, и могут храниться в десятках разных мест. Удалили обычные HTTP-идентификаторы? А файлы cookies для Flash-плагина не забыли? А параметры кэшированных в браузере изображений, которые можно делать уникальными для каждого нового посетителя, тоже? Подобных способов ой как много существует. Некоторые из них даже позволяют осуществлять кросс-браузерную идентификацию в пределах одного и того же устройства.
Во-вторых, и это даже интереснее, для идентификации устройства можно обойтись даже и совсем без cookies. Для этого достаточно лишь парочки встроенных в браузер функций. Как раз это на упомянутой в начале статьи конференции и доказала независимый исследователь Йан Жу (вот видео её выступления на YouTube).
Для реализации новой атаки, о которой идёт речь (она относится к классу Browser Fingerprinting) используется протокол HSTS, который служит для направления браузеров на защищённую линию HTTPS в обход потенциально уязвимого соединения HTTP. Подобные вещи используют сегодня не только банки и крупнейшие компании, но и даже относительно некрупные сайты, которых всё больше - и это упрощает задачу.
Так вот, для атаки серверу достаточно предложить браузеру-клиенту адреса несуществующих изображений, как бы расположенных на других использующих HSTS сайтах (на деле нет). Далее нужно измерить с помощью скрипта время выдачи ошибки. Если сайт посещался ранее, ошибка будет практически моментально, если нет - потребуется чуточку больше времени. Разницы как раз будет достаточно для анализа истории посещений. Это гарантированно работает с Chrome и Firefox, и, скорее всего, с другими браузерами тоже - и никак не будет заметно для пользователя (разве что, вероятно, на секунду-другую задержит загрузку запрошенной страницы, если сервер обнаглеет и начнёт сверять излишне большой список).
Ещё одна отмеченная Жу проблема, от которой будет ещё сложнее избавиться, заключается в технологии HTTP Public Key Pinning (HPKP). Она позволяет ограничить возможность подделки сертификатов безопасности, для чего сервер задаёт для браузера уникальные параметры безопасного подключения. Один раз, и... готово. Пользователь останется в списке "своих" до полной смены браузера, обнуление истории посещений ему не поможет.
Стоит ли всего этого опасаться?
Пожалуй, нет. Скрывать нам нечего, да ведь? И потом, все за всеми следят и все об этом знают. Мир тесен. Можно не сомневаться, что крупнейшие поисковые системы (они же по совместительству и крупнейшие рекламные платформы) уже давно используют подобные методы идентификации для более устойчивого разделения людей по интересам и другим категориям.
Как от всего этого защититься?
Время от времени переустанавливать все установленные на компьютере браузеры с удалением всех их папок, ключей реестра Windows и файлов (особенно тех, что лежат в папке users/имя_пользователя/AppData/). Не стоит верить и в такие меры, как сеть TOR или режим приватного просмотра: свои отмычки есть ко всему, а если нет - их обязательно придумают. И придумают снова, когда для старых отмычек будет выпущена защитная заплатка. Круг бесконечен. Так что проще забыть и не беспокоиться.