Pull to refresh

Comments 5

А против такой атаки на "идентификацию" не спасет плагин из серии HTTPS Everywhere? Я просто не совсем понял те хосты что не HSTS грузяться с сайта, у них получается и https версии нет, если да то плагин не поможет. Но с другой стороны чистишь полностью браузер и кеш HSTS тоже слетает. И "скрытый" идентификатор идёт лесомhttps://chrome.google.com/webstore/detail/https-everywhere/gcbommkclmclpchllfjekcdonpmejbdp?hl=ru

HTTPS Everywhere работает по списку правил. Если сайта злоумышленника нет в правилах (а с чего бы ему там быть?), то он вам ничем не поможет.
Я вот совершенно не понял, как и от чего в этой статье защитились.
Первый пункт вроде понятен — запретили HSTS для поддоменов, — обходится регистрацией нужного количества доменов (в том числе бесплатных, как я понял).
Второй пункт не понятен от слова совсем.

Как я себе вижу эту всю атаку:
Регистрируем N несвязанных доменов, после чего пишем скрипт с такой логикой:
1. Добавить на страницу N изображений по одному с каждого домена, типа domain/pixel.gif (при запросе бит HSTS не устанавливается).
2. После загрузки всех пикселей — проверить какие загружены по http, а какие по https. Собрать биты, получить идентификатор.
3. Если идентификатор не получился (все пиксели по http) — генерируем идентификатор, разбиваем на биты, добавляем на страницу соответствующие пиксели, типа domain/set-hsts.gif (при запросе устанавливается бит HSTS).

В каком моменте это перестанет работать? HTTPS Everywhere, кстати, — вроде как отлично поможет от этой проблемы. Может быть просто нужно интегрировать эту функциональность в сам браузер в каком-то виде?
Внимательно прочитал оригинал.

Первый пункт блокирует установку HSTS. Обходится цепочкой редиректов. Печально, но не критично.
Второй пункт до сих пор не могу понять.
суть в том что это не для админов серверов сообщение, а для пользователей браузеров за которыми через HSTS могут следить недоброжелательные хостеры веб-приложений пытающиеся «деанонимизировать» пользователей.
Sign up to leave a comment.

Articles