2015/01/08
Cookie que pretende aumentar a segurança permite tracking de utilizadores em modo incógnito
A questão do tracking nos sites web é algo que já dura há anos, e frequentemente vamos descobrindo que há entidades a usar métodos criativos para contornar todas as medidas que pretendem assegurar a privacidade dos utilizadores. Desta vez o caso torna-se caricato, pois o tracking é feito usando-se um cookie criado para garantir a segurança dos utilizadores.
Os cookies são pequenos pedaços de informação que os sites podem pedir aos browsers para guardarem localmente. É graças a eles que quando regressam a um site como o Facebook ou Gmail podem entrar directamente sem terem que introduzir novamente os vossos dados de login; e é também graças a eles que múltiplas empresas de publicidade podem recolher dados sobre que sites têm visitado e usar isso para vos mostrar publicidade teoricamente "de interesse".
Mas há também muitos casos em que essa capacidade é abusada, e isso levou à criação de coisas como o "modo incógnito" em diversos browsers, que evita que os sites possam aceder a esses dados - mas nem isso sendo suficiente para garantir a privacidade, como agora fica demonstrado usando-se o HSTS.
O HSTS (HTTP Strict Transport Security) é um sistema usado para garantir a segurança dos utilizadores, sinalizando se cada site deverá ser acedido em modo HTTPS ou não. Quando visitarmos um site em modo HTTPS, o browser regista isso, para que no futuro não se deixe atacar por ataques que tentem redireccionar-nos através de ligações inseguras. A grande maioria dos browsers opta por permitir o acesso a esta informação mesmo quando se está a usar o modo incógnito, preferindo dar prioridade à segurança do que à privacidade, e é por aí que o sistema é abusado.
Embora este HSTS permita apenas guardar 1 bit de informação (se um site deve ser acedido via HTTPS ou não), a táctica consiste em agrupar 32 domínios diferentes, e assim criar um "registo" de 32bits que permite criar um número de identificação para cada utilizador, que poderá ser registado mesmo quando um utilizador acede aos sites em modo incógnito. A solução, nalguns casos, passa por limpar completamente os cookies do browser antes de se usar o modo icógnito - mas há situações onde nem isso resulta, como no Safari para iOS, onde aparentemente não há qualquer forma de apagar esta informação.
... Uma informação a ter em conta por todos aqueles que pensarem que o modo incógnito poderá garantir a vossa privacidade a 100% (embora para além deste método existam muitos outros que tentam ultrapassar, de uma forma ou de outra, todas as medidas "anti-tracking" que se vão desenvolvendo - como o canvas fingerprinting.)
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário (problemas a comentar?)