Niente di fantascientifico sotto la gonna per carità, ma sviluppare un'API che si pone come obiettivo quello di "rendere estremamente persistenti i cookie identificando i client anche dopo aver effettuato le normali procedure di pulizia del browser, LSO compresi" beh un pò mi inquieta (e dovrebbe avere lo stesso effetto su di voi).
Ma come è possibile raggiungere tale obiettivo?
Semplice, il cookie "ever" tenterà di installarsi in ogni angolo del vostro computer sfruttando tutte le tecniche ad oggi conosciute per lo storage di informazioni lato client da parte di un'applicazione web, specificatamente ma non limitatamente userà:
- Standard HTTP coockie
- LSO (di cui abbiamo trattato tempo fa)
- Immagini PNG usando una sorta di steganografia in grado di fare storage dei dati nelle informazioni RGB (utilizzando HTML5 Canvas)
- La Web History (si avete letto bene)
- Standard HTTP ETag
- Internet Explorer mettendo i dati nello userData
- HTML5 Session Storage
- HTML5 Local Storage
- HTML5 Global Storage
- HTML5 Database Storage via SQLite
... ed in arrivo
- Silverlight Isolated Storage
- window.name caching
- Java per la creazione di un GUID sulla base delle informazioni della scheda di rete (MAC)
Se volete approfondire potete continuare sul sito ufficiale ma attenzione ... un biscottino molto persistente v'aspetta :)
Molte volte è il nostro stesso browser a tradirci, dai un'occhiata a questo post che avevo scritto in cui ho segnatalo un paio di link molto inquietanti http://bit.ly/clWGXL
RispondiEliminaBasa lo user agent del browser assieme al controllo dei plug-in installati e disponibili per rendere praticamente unica ciascuna installazione. Nello stesso post parlo anche della tecnica cui ti riferisci nel post per rubare la cronologia tramite i CSS
Hola,
RispondiEliminaNon posso far meno di commentare.
Samy Kamkar non è nuovo a questo genere di biscotti. Diventato “famoso” dopo esser riuscito ad ottenere oltre un milioni di “amici “su myspace nel 2005 in una notte.
Inoltre è stato interessantissimo il suo talk al recente BH dal titolo inquietante “Come ho incontrato la tua ragazza” della serie “Dimmi chi sei e ti dirò dove abiti!”. In pratica ha dimostrato in live come poter geolocalizzare in maniera al quanto precisa (si parla di 8 metri) un utente sul web.
Il meccanismo è semplice ma altrettanto pericoloso. In sostanza si far andare la vittima ad una pagina vulnerabile ad attacchi di tipo XSS (o magari ad una creata ad hoc) in modo da prendere il mac (che non è osx!). Una volta ottenuto si bussa alla porta di BigG per chiedergli se tante volte nelle sue lunghe chilometriche sniffate per il mega progetto Street View avesse mai incontrato tale codice… e se ci risponde con un yes… tombola! Geolocalizzazione perfetta!
Pagina del progetto: http://samy.pl/mapxss/
Quindi ricapitolando, sanno quello facciamo (cronologia), sanno quello che ci piace (storage delle ricerche, pagine visitate ecc.), sanno i nostri amici (chi non accede alle pagine di fb dei propri amici? io!) e sanno persino dove trovarci!!!
Beh ogni considerazione è puramente superflua..
Passo e chiudo.
Ciao Mario
RispondiEliminaPer quanto riguarda il browser fingerprint non la ritengo ancora un grossa minaccia certo però, se messo insieme a tutto il resto, cominciamo ad avere un approssimazione "certa" (passami la dicotomia) di quale sia la macchina che si connette ad una data risorsa web.
Resto sconcertato della questione CSS che ammetto per mia ignoranza di non conoscere ma che ha dei risvolti niente male!!!
Nel mio piccolo ho da sempre sostenuto che il problema più grande nella sicurezza IT non è infrastrutturale ma umano (see PEBCAK). Oggi come oggi i social network stanno amplificando spasmodicamente questa vulnerabilità dando, di fatto, a persone che niente conoscono dell'IT la totale gestione dei propri dati senza alcun tipo di tutela o vincolo. E questo è male. Tanto per fare un paragone:
RispondiEliminaLa legge italiana considera il consumatore (privato) un imbecille. Quindi ogni qual si voglia cavillo contrattuale che limiti i suoi diritti di consumatore è di per se illegale.
Perché nell'IT non accade altrettanto?
I problemi sono ampi e soprannazionali ma c'è da cominciare da qualche parte.
PS: Michele ricordami di spiegarti la mia teoria sui cubi OLAP e BigG ;)
Post interessantissimo. E devo dire che la questione era a me sconosciuta.
RispondiEliminaGrazie.
Purtroppo ce ne sono molti di progetti come questo che ci sfuggono, ma che ci usano tranquillamente contro!
RispondiElimina[...] di tale risposta ma in passato l’argomento è stato ampiamente trattato in queste pagine, dai cookie alla gestione degli LSO fino ad una breve degressione per non addetti ai lavoro del come e del cosa [...]
RispondiElimina