Nếu bạn không biết, tiêu chuẩn an ninh HTTP Strict Transport Security (HSTS) có thể bị lạm dụng như là một ‘supercookie’ để lén lút theo dõi mọi người trên hầu hết các trình duyệt web mà họ không biết đến ngay cả khi họ sử dụng “trình duyệt riêng tư”.
Apple đã bổ sung các biện pháp giảm nhẹ đối với cơ sở hạ tầng của trình duyệt nguồn mở WebKit , nó hỗ trợ trình duyệt web Safari để ngăn chặn lạm dụng HSTS sau khi phát hiện ra các cuộc tấn công lý thuyết đã được chứng minh vào năm 2015 gần đây đã bị phát hiện sử dụng với người dùng Safari.
Vì HSTS không cho phép các trang web lưu trữ bất kỳ thông tin / giá trị nào trên trình duyệt web của người dùng, ngoại trừ việc nhớ thông tin chuyển hướng về việc bật / tắt để sử dụng trong tương lai. Và nếu khai thác thông tin này, những kẻ quan tâm đến việc theo dõi người dùng web có thể tạo ra cái gọi là supercookie sau đó được đọc bởi các máy chủ theo dõi chéo trang để đánh dấu người dùng trên các trang web.
Đây là cách Theo dõi dựa trên HSTS:
Để hiểu cách hoạt động của công việc theo dõi của HSTS, đây là một ví dụ đơn giản:
- Để theo dõi từng người dùng, các trang web chỉ định một số ngẫu nhiên duy nhất cho mỗi khách truy cập, ví dụ 909090, trong đó 32 ký tự chuyển đổi nhị phân cho 909090 là 00000000000011011101111100100010.
- Để đặt số nhị phân này cho một người dùng cụ thể, trang web đặt chính sách HSTS cho 32 tên miền phụ (tr01.example.com, tr02.example.com …… và tr32.example.com), nếu đó là HSTS một tên miền phụ được kích hoạt thì giá trị là 1 và nếu không thì giá trị là 0.
- Bây giờ mỗi khi người dùng truy cập vào cùng một trang web, nó sẽ tự động mở các điểm ảnh vô hình khỏi 32 tên miền phụ của nó trong nền đại diện cho các bit trong số nhị phân, báo hiệu máy chủ mà tên miền phụ được mở qua HTTPS (1) và thông qua HTTP (zero ).
- Kết hợp giá trị trên cho thấy giá trị nhị phân duy nhất của người dùng đến máy chủ, giúp các trang web / nhà quảng cáo đánh dấu người dùng trên các trang web.
Giảm nhẹ vấn đề giải quyết vấn đề đặt super cookie, trong đó kẻ tấn công sử dụng URL dài mã hóa các chữ số trong các tên miền phụ của tên miền chính và thực tiễn thiết lập HSTS trên một phạm vi rộng các tên miền phụ cùng một lúc.Safari sẽ giới hạn trạng thái HSTS cho host name hoặc tên miền cấp cao nhất cộng với một (TLD + 1) và “WebKit cũng giới hạn số lượng chuyển hướng có thể được nối liền với nhau, tạo ra một giới hạn trên về số lượng bit có thể được thiết lập, ngay cả khi độ trễ được đánh giá là chấp nhận được. ”
Brent Fulgham, một nhà phát triển làm việc cho công cụ Safari WebKit, cho biết: “Điều này ngăn cản các nhà quản lý có thể thiết lập HSTS một cách hiệu quả qua nhiều bit khác nhau, thay vào đó, họ phải truy cập từng miền một cách đại diện cho một bit hoạt động trong mã nhận dạng theo dõi.
“Mặc dù các nhà cung cấp nội dung và các nhà quảng cáo có thể đánh giá độ trễ giới thiệu bởi một chuyển hướng đơn qua một nguồn gốc để thiết lập nhiều bit là không thể nhận thấy đối với người dùng, yêu cầu chuyển hướng đến 32 hoặc nhiều tên miền để thiết lập các bit của định danh sẽ được cảm nhận cho người dùng và do đó không thể chấp nhận cho họ và các nhà cung cấp nội dung. “
Trong Giảm nhẹ Thứ hai , Safari bỏ qua HSTS State cho yêu cầu Subresource tới các Domains bị chặn, trong đó WebKit chặn những điểm như các pixel theo dõi không nhìn thấy từ buộc phải chuyển hướng HSTS, làm cho các siêu superkooks HSTS trở thành một chuỗi nhỏ chỉ bằng 0.
Tuy nhiên, Apple không đặt tên bất kỳ cá nhân, tổ chức, hoặc bất kỳ công ty quảng cáo nào đang sử dụng theo dõi siêu nhân HSTS để nhắm mục tiêu đến người dùng Safari.