Menu

Špehování prostřednictvím HSTS

19.01.2015 14:02 | Karel Kovar + Přidat komentář
Špehování prostřednictvím HSTS

Špehování prostřednictvím HSTS | foto: CHIP

Teoreticky lze říci, že https připojení nám zajistí na internetu větší soukromí a bezpečnost. V praxi to ale tak být nemusí…

Velké množství webů nabízí pro surfaře jak „obyčejnou“ verzi, tak i bezpečnější, realizovanou prostřednictvím https připojení. Jak se ale ukázalo, může být tato taktika problém. Britský bezpečnostní specialista Sam Greenhalgh totiž nedávno předvedl, jak lze tento fakt využít ke špehování uživatelů.

Pro bezpečnější surfování existuje funkce „HTTP Strict Transport Security (HSTS)“ která zajišťuje, že je uživatel přesměrován z nezabezpečené verze webu (http) na tu bezpečnou (https). Například pokud uživatel zadá do prohlížeče http://www.google.com, je automaticky přesměrován na https://www.google.com. Problém ale je, že autoři specifikace HSTS (viz  RFC 6797 – http://tools.ietf.org/html/rfc6797) sem přidali mechanismus, který si pamatuje některé informace, jež lze zneužít k identifikaci uživatele.

Podrobnější informace najdete na adresách http://www.theregister.co.uk/…supercookie/ a http://www.radicalresearch.co.uk/…supercookies

Komentáře

* Hvězdičkou jsou označeny povinné informace.

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Nemusíte se obávat, váš e-mail ochráníme. Postupujeme podle těchto zásad a obchodních podmínek. Budeme vás pravidelně informovat o novinkách ve světě počítačů a technologií. Díky newsletteru snadno vyhodnotíme, jestli jsme se vám trefili do vkusu.




Komerční sdělení