Noul Super Cookie poate urmări utilizatorii chiar şi în Private Mode

Noul Super Cookie poate urmări utilizatorii chiar şi în Private Mode

Securitatea şi intimitatea online devin probleme din ce în ce mai importante în ultimii ani, iar browserele promit să protejeze utilizatorii prin faimosul „private mode”, care ar trebui să nu lase urme despre activitatea noastră online. Ei bine, nu mai este cazul, având în vedere că s-a inventat aşa-numitul „Super Cookie”, care poate să urmărească un utilizator oriunde se duce, fie că foloseşte private mode sau nu.

Înainte să ne panicăm, ar trebui să analizăm puţin modul în care acest tip de cookie funcţionează. Acesta este o componentă a protocolului HTTP Strict Transport Security, care asigură conectarea la serverele „gazdei” numai atunci când poate fi făcută o conexiune HTTPS. Astfel, prin intermediul HSTS, toate conexiunile pe care urmează să le faci către acel server securizat sunt criptate automat, fără a fi nevoie de generarea unui cookie la fiecare accesare.

Ei bine, folosind această tehnologie, Sam Greenhalgh, un consultant software de la RadicalReasearch, a găsit o metodă prin care foloseşte cookie-ul HSTS pentru a urmări un utilizator oriunde navighează pe internet, indiferent dacă foloseşte un browser în private mode sau nu. Atunci când super cookie-ul este generat folosind modul normal al browser-ului, acesta crează o amprentă unică a computerului şi browserului utilizat pentru conexiune, aşa că poate apoi să recunoască vizitele următoare chiar şi în mod privat. Ba mai mult, cookie-ul poate fi accesat de pe mai multe domenii, indiferent dacă acestea sunt cele care l-au generat sau nu. Astfel, activitatea utilizatorului poate fi urmărită cu uşurinţă de către persoanele determinate.

Din fericire, această vulnerabilitate poate fi rezolvată temporar. Cei care nu doresc să fie urmăriţi în acest mod pot şterge cookie-urile după fiecare conectare la un server HTTPS care nu inspiră încredere. De asemenea, Firefox 34.0.5 pentru Windows este imun deja la acest tip de atac, Internet Explorer nici măcar nu cunoaşte standardul HSTS şi cu siguranţă restul de browsere vor primi actualizări în viitorul apropiat pentru a adresa problema. O soluţie temporară ar putea fi utilizarea de Firefox sau Internet Explorer pe Windows între timp, însă utilizatorii altor sisteme de operare nu au foarte multe opţiuni pentru a se proteja.