Comments 5
А против такой атаки на "идентификацию" не спасет плагин из серии HTTPS Everywhere? Я просто не совсем понял те хосты что не HSTS грузяться с сайта, у них получается и https версии нет, если да то плагин не поможет. Но с другой стороны чистишь полностью браузер и кеш HSTS тоже слетает. И "скрытый" идентификатор идёт лесомhttps://chrome.google.com/webstore/detail/https-everywhere/gcbommkclmclpchllfjekcdonpmejbdp?hl=ru
+1
Я вот совершенно не понял, как и от чего в этой статье защитились.
Первый пункт вроде понятен — запретили HSTS для поддоменов, — обходится регистрацией нужного количества доменов (в том числе бесплатных, как я понял).
Второй пункт не понятен от слова совсем.
Как я себе вижу эту всю атаку:
Регистрируем N несвязанных доменов, после чего пишем скрипт с такой логикой:
1. Добавить на страницу N изображений по одному с каждого домена, типа domain/pixel.gif (при запросе бит HSTS не устанавливается).
2. После загрузки всех пикселей — проверить какие загружены по http, а какие по https. Собрать биты, получить идентификатор.
3. Если идентификатор не получился (все пиксели по http) — генерируем идентификатор, разбиваем на биты, добавляем на страницу соответствующие пиксели, типа domain/set-hsts.gif (при запросе устанавливается бит HSTS).
В каком моменте это перестанет работать? HTTPS Everywhere, кстати, — вроде как отлично поможет от этой проблемы. Может быть просто нужно интегрировать эту функциональность в сам браузер в каком-то виде?
Первый пункт вроде понятен — запретили HSTS для поддоменов, — обходится регистрацией нужного количества доменов (в том числе бесплатных, как я понял).
Второй пункт не понятен от слова совсем.
Как я себе вижу эту всю атаку:
Регистрируем N несвязанных доменов, после чего пишем скрипт с такой логикой:
1. Добавить на страницу N изображений по одному с каждого домена, типа domain/pixel.gif (при запросе бит HSTS не устанавливается).
2. После загрузки всех пикселей — проверить какие загружены по http, а какие по https. Собрать биты, получить идентификатор.
3. Если идентификатор не получился (все пиксели по http) — генерируем идентификатор, разбиваем на биты, добавляем на страницу соответствующие пиксели, типа domain/set-hsts.gif (при запросе устанавливается бит HSTS).
В каком моменте это перестанет работать? HTTPS Everywhere, кстати, — вроде как отлично поможет от этой проблемы. Может быть просто нужно интегрировать эту функциональность в сам браузер в каком-то виде?
+1
Внимательно прочитал оригинал.
Первый пункт блокирует установку HSTS. Обходится цепочкой редиректов. Печально, но не критично.
Второй пункт до сих пор не могу понять.
Первый пункт блокирует установку HSTS. Обходится цепочкой редиректов. Печально, но не критично.
Второй пункт до сих пор не могу понять.
-1
Sign up to leave a comment.
Защита от креативного злоупотребления HSTS