Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties
Submitter: player-x

Een onderzoeker heeft een manier gevonden om http strict transport security, een methode om het afluisteren van internetverbindingen te voorkomen, in te zetten om gebruikers te volgen op internet. Die methode werkt ook als iemand de incognitomodus gebruikt.

Websites kunnen dankzij hsts door middel van een http-header laten weten dat ze in het vervolg alleen nog maar via https mogen worden bezocht. Zelfs als de verbinding van een gebruiker daarna wordt onderschept, is de gebruiker op websites met hsts in principe veilig, omdat de browser weet dat die sites enkel bezoek over https toelaten. Daarnaast bevatten Chrome en Firefox een lijst met veelgebruikte websites, zoals PayPal en Google, die sowieso enkel over https mogen worden bezocht.

Deze functionaliteit kan echter worden misbruikt om gebruikers te volgen, ontdekte onderzoeker Sam Greenhalgh. Een hsts-header bestaat uit één bit, die aan of uit kan worden gezet. Door 32 verschillende url's te gebruiken kan echter een string van 32 bits worden gemaakt die per gebruiker verschillend is. Daarmee kan voor meer dan 4 miljard gebruikers een unieke string worden aangemaakt, meldt Ars Technica. Greenhalgh heeft een proof-of-concept gemaakt om zijn claims kracht bij te zetten.

Hsts-headers worden niet behandeld als cookies, waardoor het mogelijk is om een gebruiker die in de incognitomodus surft te identificeren, al moet hij daarvoor wel minimaal één keer de bewuste website in de 'normale' modus hebben bezocht.

In Firefox 34 is de omgang met hsts-headers aangepast, waardoor het probleem niet meer is te misbruiken; in incognitomodus kunnen gebruikers niet meer worden geïdentificeerd. In Chrome en Opera werkt de methode van Greenhalgh nog wel, al worden de headers daarbij gewist als de gebruiker zijn cookies verwijdert. In de Safari-browser op de iPad en iPhone kan dat echter niet, waardoor die browser het kwetsbaarst is voor het beveiligingsprobleem.

Volgens Greenhalgh is er nog geen bewijs dat de methode wordt misbruikt om gebruikers te volgen, maar dat wil niet zeggen dat het ook niet gebeurt. Feit is dat het al jaren bekend is dat hsts-headers in incognitomodus niet anders worden behandeld, al was er nog geen werkende proof-of-concept waarmee gebruikers kunnen worden gevolgd.

hsts tracking

Moderatie-faq Wijzig weergave

Reacties (35)

Denk je incognito te surfen, wordt je alsnog gevolgd middels zo'n exploit. Het is maar hopen dat hier niemand de dupe van is geworden (in hoeverre dat negatief kan zijn althans...)
Het artikel suggereert naar mijn idee onterecht dat zo'n incognito-mode ervoor is om sites jou niet te laten volgen. Maar als je kijkt naar wat Firefox je aan uitleg geeft als je een incognito-tab opent:
Private Browsing

Firefox won't remember any history for this window.

In a Private Browsing window, Firefox won't keep any browser history, search history, download history, web form history, cookies, or temporary internet files. However, files you download and bookmarks you make will be kept.

To stop Private Browsing, you can close this window.

While this computer won't have a record of your browsing history, your internet service provider or employer can still track the pages you visit.
Natuurlijk kan een website je in theorie nog redelijk volgen. Je komt nog steeds van je eigen IP-adres bijvoorbeeld. Ik geloof niet dat die hele incognito-mode daarvoor is bedoeld. Het is mooi dat het is opgelost in Firefox, maar denk niet dat een website nu niks meer van je weet. Je browser onthoudt niet wat je hebt gedaan (muv wat er wordt genoemd: downloads bijvoorbeeld): DAAR is die mode voor bedoeld. :)

(Zie ook bijvoorbeeld: https://support.mozilla.o...e-web-without-saving-info)
Het artikel suggereert naar mijn idee onterecht dat zo'n incognito-mode ervoor is om sites jou niet te laten volgen.
Die fout wordt wel meer gemaakt. ;)

[Reactie gewijzigd door Soultaker op 7 januari 2015 18:24]

Ik geloof niet dat die hele incognito-mode daarvoor is bedoeld

Daar was het expliciet voor bedoeld. Dat het niet perfect is is waar, maar het niet gebruiken van bestaande cookies en bovendien niet opslaan van nieuwe cookies bij beindigen sessies was het expliciete doel.

Het omzeilen van het cookie-wissen om te kunnen tracken is dus een rechtstreekse aanval op het core-doel van dat soort modusen in browsers.

Natuurlijk is het niet perfect, maar zonder traditionele cookies is het vrijwel onmogelijk een persoon te tracken. IP-tracking etc is niet voor niets uit de gratie geraakt vanwege de talloze problemen. Al enkele jaren probeert men in de reclame wereld alternatievente vinden, maar tot nu toe tevergeefs. De incognito/inprivate/etc modussen zijn dus wel degelijk een ramp voor tracking bedrijven.
Wat met browser fingerprinting? Werkt mi zonder cookies =^)
(Vreemd dat ik 0 steren krijg, want mijn bericht was on-topic? Het hele artikel is immers een bescrhijving van een methode om dit soort privacy modussen te omzeilen.)

Maar browser fingerprinting is een andere methode. Echter ook die is vaak problematisch (voor trackingbedrijven), want alle iOS apparaten hebben bijvoorbeeld vaak dezelfde fingerprint bij diverse fingerptintmethoden :)
incognito surfen = porno kijken :+ nix 'niet gevold worden'
True, klinkt allemaal heel wijs dat gepraat over privacy e.d.
Maar uiteindelijk worden die private/incognito modi voornamelijk gebruikt om pr0n te kijken zonder dat de rest van het huishouden daar mee wordt geconfronteerd op het moment dat ze de browser openen.
Helemaal correct, incognito knop heet in gewonen taal de porno knop.
2 andere nuttige functies:

Meerdere webmail (of andere) accounts van dezelfde leverancier tegelijk open kunnen hebben in dezelfde browser.

Wel eens opgemerkt hoe vervelend het is wanneer je ergens met een Google-account ingelogd bent?
Je bent vervolgens bij alle Google diensten ingelogd en alles wordt via die account gedaan.

[Reactie gewijzigd door R-J_W op 9 januari 2015 12:22]

Ik betweifel echter of incognito surfen bedoeld is gweest om tracking tegen te gaan. Volgens mij is het vooral een tool om sites te bezoeken waar je niet van wilt dat ze iets achterlaten op je computer voor anderen te zien ;)
Safari onder iOS 8 slaat het cookie op, ook in Private mode en ook als Always block cookies aanstaat.
In de Safari-browser op de iPad en iPhone kan dat echter niet, waardoor die browser het kwetsbaarst is voor het beveiligingsprobleem.
Uit een snelle test blijkt dat Clear history and Website Data ook htst-header bit verwijdert :). Dat is een goede reden om regelmatig Clear history and Website Data uit te voeren op Safari onder iOS. De tekst van tweakers is in dat punt niet correct. Je openstaande tab-bladen worden dan wél gesloten.

Ghostery verwijdert het hsts-header cookie niet met Clear Cookie en Clear Cache. Anders dan deïnstalleren en weer herinstalleren is er dan mijn inziens niet.

[Reactie gewijzigd door smartbit op 7 januari 2015 17:09]

Je hoeft niet echt bang te zijn dat dit misbruikt wordt. Het 'probleem' was al bekend bij het opzetten van de HSTS spec en staat er zelfs in beschreven. Al in 2011 heeft Google in Chrome (versie 15) geprobeert het aan te pakken maar dat lukte niet zonder ernstige neveneffecten.

De reden waarom je niet bang hoeft te zijn is 3 ledig:

1) Allereerst werkt het alleen bij HTTPS. Dat is een relatief grote kostenpost voor zo'n reclamebedrijf waar marges doorgaans flinterdun zijn. Je moet naast het certificaat namelijk ook betalen voor de extra server-load van HTTPS vs HTTP.

2) Voor een 32bit HSTS cookie moeten maar liefst 32 TLS connecties opgezet worden bij elk website bezoek naast het gewone reclame werk. Dat is een enorme overhead en daarmee kosten.

3) Het werkt synchroon en die 32 connecties duren zelfs met een SPDY of HTTP 2.0 connectie nog best langzaam. Pas nadat men immers die super cookie gedecodeerd heeft, kan men beginnen met het 'gebruikelijke' reclame werk waar een gerichte add gevonden en getoond wordt aan de hand van de tracking informatie.

Om die 3 reden wordt het dus ook niet gebruikt ondanks dat het al enige jaren mogelijk is.

Merk overigens op dat Firefox 34 het probleem aangepakt heeft door de HSTS header niet meer terug te geven uit de incognito modus. Andersom nog wel, dus je bent enkel 'half' beschermt. De cookie kan niet naar de incognito modus, maar er nog wel uit. Dat is overigens een goede zaak want het gaat hier om uitruil security vs privacy. Dus Firefox 34 heeft de privacy versterkt ten koste van een heel klein beetje reductie in security, maar is niet 'all the way' gegaan.
Voor advertenties is het misschien niet relevant. Maar als je iets verkoopt, f.e. vliegtickets, en elke keer de prijzen een beetje wilt laten stijgen dan is de marge een stuk groter. Naast dat het niet alleen je privacy is die in het geding is, maar dat je ook meer betaald.

Note: Als ze dit bij iedereen doen dan kan het zijn dat je gemiddeld natuurlijk niet meer betaald, omdat je erop in kan spelen dat mensen niet de eerste keer dat ze je pagina bezoeken iets zullen kopen. Maar het verstoord concurentie dan nog steeds.
Met gewone cookies, IP adres en andere standaard tracking methodes heb je 99.99% van de mensen te pakken. De paar die je hiermee erbij krijgt zijn het voor advertentie doeleinde echt niet waard.
Als ik het goed zie kan een website als google.com bij eerste bezoek kijken of hij de gebruiker met een cookie kan identificeren, hierna een cookie plaatsen. Als dit niet lukt dmv JavaScript of bij het opvragen van de tweede pagina 32 1pixel plaatjes van 32 https sites opvragen (of zelfs http sites want dan moet de browser al aangeven dat https gebruikt moet worden) om de gebruiker te identificeren, waarbij de sites 404 terug mogen geven. Daarna is de gebruiker bekend gedurende de hele incognito sessie. Lijkt mij niet heel duur.
Als ik het goed zie kan een website als google.com bij eerste bezoek kijken of hij de gebruiker met een cookie kan identificeren, hierna een cookie plaatsen

Uiteraard zal men gewone cookies gebruiken voor caching, maar het punt is nu net dat dit gebruikt zou worden om systemen te omzeilen waar men inprivate of cookie-wissers gebruikt. Veel extra en duur werk voor een kleine meervangst tov wat je al met gewone cookies bereikt.

Lijkt mij niet heel duur.

Wel als je beseft dat de reclame provider NIET de website server is die je bezoekt maar die van de reclame server.

De marges in die reclame boeren business zijn flinterdun en de extra load (die bij HTTPS vs HTTP) en de 32 extra HTTPS bit-connecties zijn wel degelijk relevant. De add-wereld is een snoeiharde concurentie op prijs.

Het gaat bovendien - punt 3 - om extra connecties voor het gewone add-vertoon systeem. Dat is dus een latency van makkelijk een seconde voordat men uberhaupt het laden van de add kan beginnen. Op de test-side duurde het maar liefst bijna 3 seconde op mijn telefoon!
Je moet zeer zeker bang zijn hiervoor want het is niet zo maar dat dit mogelijk is.
Het is er speciaal zo op ontworpen.

Denk maar eventjes na over wie die methode ook al weer bedacht had.

En nog steeds denken mensen dat er geen kwaad in dit bedrijf zit...
Vreemd dat één van de nog steeds meest gebruikte browsers (IE) categorisch genegeerd wordt in dit artikel.
Lijkt me interessant om te weten wat de gevolgen voor 'jan met de pet' zijn van deze kwetsbaarheid.
IE11 lijkt er hier niet gevoelig voor. Krijg elke keer een andere code op de test page.
Omdat IE11 misschien geen HSTS ondersteuning heeft? komt pas in IE12 :)
http://threatpost.com/ie-...ncryption-protocol/105266

[Reactie gewijzigd door Jelmer op 7 januari 2015 16:48]

IE11 ondersteunt geen HSTS...
De bronpagina zegt dat IE http strict transport security niet ondersteunt en dus niet kwetsbaar is:
A notable exception is Internet Explorer which has no support for HSTS (although it is in development at the time of writing) so it's not vulnerable to this technique.

[Reactie gewijzigd door hellfire_ultd op 7 januari 2015 16:52]

ik zou willen zeggen: niet kwetsbaar voor deze methode van tracking.
Het wil niet zeggen dat je met IE minder kwetsbaar bent (in het algemeen)
Firefox blijven gebruiken dus. Vind het al jaren de fijnste browser. Zou het ook mogelijk zijn dat overheden dit hebben geeist van browsermakers om mensen toch te kunnen tracken?
Lijkt me niet, dit is eerder een situatie als 'oh shit, daar hadden we nog niet aan gedacht'. FF heeft ook al een fix uitgebracht.
Hier is wel aan gedacht en zelfs voor gewaarschuwd in de RFC.


Ik vind het artikel niet helemaal correct.

De bedenkers van HSTS hebben namelijk geconstateerd dat voor HSTS een afweging tussen security en privacy noodzakelijk is. HSTS is namelijk niet mogelijk zonder deze HSTS bit en via deze ene bit is een side-channel attack mogelijk.
In hun geval hebben ze voor security gekozen ten koste van privacy.


Het probleem is dat de HSTS bit meegenomen word tussen incognito en niet-incognito modus, terwijl incognito juist bedacht is wanneer privacy belangrijker is dan security.

De oplossing van firefox is dat de HSTS bits gecleared worden wanneer je schakelt tussen privacy mode en terug.
Citaat artikel:
Safari-browser op de iPad en iPhone kan dat echter niet, waardoor die browser het kwetsbaarst is voor het beveiligingsprobleem.

Dit is een privacy probleem, geen beveiligingsprobleem naar mijn idee, of zit ik nu mis?
Je hebt het correct. Dit is een privacy probleem.

Echter het fundament eronder is dat de bit die gebruikt wordt om te tracken een bit is voor security. Ofwel het is enkel mogelijk hier privacy vs security uit te wisselen.

Google heeft gekozen 100% voor security te gaan, en dit (zeer kleine) risico van tracken voor lief te nemen. Het probleem is immers al jaren bekend en in 2011 onderzocht door Google.

Firefox heeft nu recent besloten de security ietsje te reduceren in ruil voor het aanpakken van dit probleem voor de inprivate modus. Immers die modus kiezen mensen die expliciet privacy verwachten. Voor browsen in gewone modus blijft Firefox wel "kwetsbaar" ofwel men kiest daar net als Google voor veiligheid boven privacy.

Het hele probleem is echter vooral academisch.
Als ik de browser opnieuw installeer is dat dan een beveiligingsprobleem omdat ik Rabobank nog niet bezocht heb en dus mogelijk naar de mitm http site wordt gestuurd? Als ik IE gebruik is dat dan een beveiligingsprobleem omdat deze nooit direct naar https gaat?

Als ik bewust een incognito sessie opstart om niet gevolgd te worden kies ik voor privacy. En moet ik blijkbaar tijdens de sessie een keer extra naar de groene balk kijken. Maar ik heb geen invloed op mijn eigen privacy want dat wordt onzichtbaar gestolen.
In het artikel staat de volgende regel: " In de Safari-browser op de iPad en iPhone kan dat echter niet, waardoor die browser het kwetsbaarst is voor het beveiligingsprobleem". Mij is niet helemaal duidelijk wat er nu niet kan. Wordt er hier verwezen naar cookies verwijderen of worden bij het cookies verwijderen de headers niet gewist? Cookies verwijderen kan namelijk prima via de instellingen gedaan worden.
Je hebt gelijk dat het wat vaag omschreven is, maar ze zijn het meest kwestbaar voor het probleem waar het artikel over gaat, oftewel het probleem met de HSTS header, die kan je dus niet wissen (blijkbaar gebeurd dat dus ook niet als je je cookies delete).
Met ScriptSafe (vergelijkbaar met NoScript) aan veranderd hij bij mij steeds omdat hij de andere scriptjes op de andere pagina's niet laad. Dus als mensen een oplossing zoeken die direct werkt installeer ScriptSafe (Chrome) of NoScript (Firefox)... Voor de rest is dit niet echt een heel groot beveiligingsprobleem.
Hmm, aparte bug. Dat het in Firefox al gefixed is lijkt me een goede zaak. Dat betekend ook dat het voor de rest niet zo'n gigantisch probleem hoeft te zijn. En iOS kan dan straks ook gewoon met een update worden bijgewerkt.

Belangrijker is denk ik dat dit dus ook bij devices gebruikt kan worden die niet de laatste updates krijgen. Maar goed, zo heb je ook gebruikers met XP die nog gaan internetten. Dan vraag je er haast om.

Enigszins offtopic: blijft briljant dat jsfiddle _O_

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True