Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 5
А против такой атаки на "идентификацию" не спасет плагин из серии HTTPS Everywhere? Я просто не совсем понял те хосты что не HSTS грузяться с сайта, у них получается и https версии нет, если да то плагин не поможет. Но с другой стороны чистишь полностью браузер и кеш HSTS тоже слетает. И "скрытый" идентификатор идёт лесомhttps://chrome.google.com/webstore/detail/https-everywhere/gcbommkclmclpchllfjekcdonpmejbdp?hl=ru
Я вот совершенно не понял, как и от чего в этой статье защитились.
Первый пункт вроде понятен — запретили HSTS для поддоменов, — обходится регистрацией нужного количества доменов (в том числе бесплатных, как я понял).
Второй пункт не понятен от слова совсем.
Как я себе вижу эту всю атаку:
Регистрируем N несвязанных доменов, после чего пишем скрипт с такой логикой:
1. Добавить на страницу N изображений по одному с каждого домена, типа domain/pixel.gif (при запросе бит HSTS не устанавливается).
2. После загрузки всех пикселей — проверить какие загружены по http, а какие по https. Собрать биты, получить идентификатор.
3. Если идентификатор не получился (все пиксели по http) — генерируем идентификатор, разбиваем на биты, добавляем на страницу соответствующие пиксели, типа domain/set-hsts.gif (при запросе устанавливается бит HSTS).
В каком моменте это перестанет работать? HTTPS Everywhere, кстати, — вроде как отлично поможет от этой проблемы. Может быть просто нужно интегрировать эту функциональность в сам браузер в каком-то виде?
Первый пункт вроде понятен — запретили HSTS для поддоменов, — обходится регистрацией нужного количества доменов (в том числе бесплатных, как я понял).
Второй пункт не понятен от слова совсем.
Как я себе вижу эту всю атаку:
Регистрируем N несвязанных доменов, после чего пишем скрипт с такой логикой:
1. Добавить на страницу N изображений по одному с каждого домена, типа domain/pixel.gif (при запросе бит HSTS не устанавливается).
2. После загрузки всех пикселей — проверить какие загружены по http, а какие по https. Собрать биты, получить идентификатор.
3. Если идентификатор не получился (все пиксели по http) — генерируем идентификатор, разбиваем на биты, добавляем на страницу соответствующие пиксели, типа domain/set-hsts.gif (при запросе устанавливается бит HSTS).
В каком моменте это перестанет работать? HTTPS Everywhere, кстати, — вроде как отлично поможет от этой проблемы. Может быть просто нужно интегрировать эту функциональность в сам браузер в каком-то виде?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита от креативного злоупотребления HSTS