Nem rég megjelent a Linkek szekcióban egy új Firefox kiegészítő (SafeHistory), mely segítségével megakadályozhatjuk, hogy illetéktelen weboldalak felderítsék a böngészési előzményeinket (history), és ezt felhasználják a privátszféránk elleni támadásokra. Például arra, hogy azonosítsanak minket. Hogyan is működik ez a támadás?

Angol nevén ez a History Stealing, és a támadás tömör lényege, hogy bármely meglátogatott weboldal képes "letapogatni" milyen URL-eket látogattunk meg, vagy sem. Bár egyértelműen nem lehetséges listázni a meglátogatott URL-eket, de például rejtett URL-ek beszúrásával azoknak a színe alapján lehetséges eldönteni, hogy azt meglátogatta-e a felhasználó vagy sem – persze az igen/nem válasz kikényszerítése történhet más technikával is.

Friss kutatási eredmények szerint lehetséges egy olyan támadás, ami épp ezt a böngésző gyengeséget használja ki. Az alapkoncepció szerint minden felhasználó többé-kevésbé egyedi csoport tagsági listával rendelkezik, és feltételezzük, hogy ezt a listákat már a támadó fél is ismeri (pl. már bejárta egy programmal az adott közösségi hálózatot). Azonban ha ismert a csoport tagságok listája, akkor azt is tudni lehet, hogy vélhetően milyen URL-eket látogatott meg a felhasználó korábban. Ezeknek az URL-eknek a keresésére kell készíteni egy kellően hibatűrő programot (az előzmények ürítése, csoportok megszűnése, stb. miatt fontos a hibatűrés), és le kell tapogatni a meglátogatott csoportok URL-jeit.

Ezek alapján pedig a felhasználók egyedi módon, a közösségi oldalon megadott identitásuknak megfelelően azonosítóak lesznek. Ez annyiból is több a korábban megismert támadásokhoz képest, hogy nem csak egyedi azonosítót kap a felhasználó, hanem rögtön egy nyilvános profilhoz is tudjuk azt kötni, amihez aztán pedig tetszőleges forrásokból gyűjthetünk információt. Összegezve: ez egy rendkívül hatékony támadási forma, ami nem csupán szám alapú azonosíthatóságot, hanem teljes beazonosíthatóságot kínál, és így a legkártékonyabb fegyvernek tűnik a privátszférával szemben az azonosítás alapú nyomkövetési módszerek között.

Permalink: http://www.pet-portal.eu/blog/read/270/2010-02-23-History-Stealing-a-totalis-azonosithatosag-uj-eszk...

Forrás: Safehistory

Ajánló

• Cache stealing – a history stealing evolúciója? (2010.05.29. 15:58:34)
• Amikor a Facebook lenyomja a History Stealinget (2010.03.30. 10:35:15)
• History Stealing: közösségi platformokra továbbfejlesztve (2010.03.16. 11:07:23)
• History Stealing bemutató: szembesülni azzal, hogy merre jártunk (2010.03.10. 15:21:28)

Vissza

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.

Új hozzászólás beküldése

Bárki hozzászólhat, nem regisztrált beküldő esetén egyik adat megadása sem kötelező - a hozzászólás akár névtelen is lehet.

Név:
E-mail:
Blog:
A BBCode egy egyszerű jelölő nyelv, amellyel a hozzászólásokat lehet formázni. Érvényes parancsok: bold: [b]Maecenas at nisl.[/b] italics: [i]Maecenas at nisl.[/i] underline: [u]Maecenas at nisl.[/u] url: [url]http://www.mysite.com[/url], [url=http://www.mysite.com]Maecenas at nisl.[/url] image: [img]http://www.mysite.com/mypic.png[/img] quote: [quote]Maecenas at nisl.[/quote] code: [code]Maecenas at nisl.[/code] size: [size=12]Maecenas at nisl.[/size] color: [color=#FF0000]Maecenas at nisl.[/color] Hozzászólok!