关注网络安全
和行业未来

苹果修改Webkit架构 防止网站滥用HSTS追踪用户

你或许不曾想到,安全标准HTTP Strict Transport Security(HSTS)可能会被滥用作为一个'supercookie',在不知情的情况下暗中追踪几乎所有在线浏览器的用户,并无视“隐私浏览”功能。

苹果公司近日在其开源浏览器架构WebKit上增加了该漏洞的防护措施,以防止这项2015年就公开的漏洞成为Safari用户的软肋。

HSTS-HTTP严格传输安全 - 是一项非常棒的功能,如果用户不小心打开了不安全的URL,并且始终记住将该用户路由到安全连接,则网站可以自动重定向用户的网络流量,以保护通过HTTPS进行的页面连接。

由于HSTS不允许网站存储任何用户浏览上的信息,只能记住重定向信息用于开关HSTS功能,有心人可通过追踪网络用户来创建一个超级Cookie,然后跨站跟踪服务器读取被标记用户的浏览轨迹。

然而,苹果现在在其Safari的WebKit引擎中添加了两项缓解措施,以解决攻击的两个方面:创建跟踪标识符,以及使用不可见像素跟踪用户。

缓解措施一个解决了超级cookie设置问题,攻击者使用长URL来编码主域名子域中的数字,并一次性在广泛的子域上设置HSTS。

Safari现在将HSTS状态限制为已加载的主机名称或顶级域名加上一个(TLD + 1),并且“WebKit还限制可链接在一起的重定向上限,即使延迟被判定为可接受。“

这样可以防止跟踪者跨越大量不同的比特有效地设置HSTS;相反,他们必须单独访问代表跟踪标识符中活动比特的每个域。

虽然内容提供商和广告商可能会判断,通过单一来源重定向引发的设置许多位的延迟对用户而言是不可察觉的,但需要重定向到32个或更多的域来设置标识符的位才能被用户感知,会让他们无法接受。

在缓解措施二中,Safari会忽略子资源请求阻止域的HSTS状态,其中WebKit阻止诸如不可见跟踪像素之类的操作强制执行HSTS重定向,从而导致HSTS超级cookie变成仅为零的位串。

苹果公司在声明中没有提及任何使用HSTS 超级Cookie追踪用户数据的公司、组织或个人。

 

稿源:The hacker news

评论 抢沙发