Cookie kojeg se ne možete otarasiti

Vesti, 24.09.2010, 01:51 AM

Cookie kojeg se ne možete otarasiti

Frankenštajn među cookies-ima! Tako je istraživač bezbednosti nazvao cookie za kojeg tvrdi da ga je skoro nemoguće ukloniti sa računara. “Evercookie”, kako glasi njegov zvaničan naziv, napravljen je sa namerom da podigne svest o lakoći sa kojom administratori web sajtova mogu izbeći funcije browser-a kojima se štiti privatnost korisnika.

Prema podacima koje je na svojoj internet stranici objavio autor, Semi Kamkar, Evercookie je JavaScript API (aplikacijski programski interfejs) koji proizvodi “veoma otporne” browser cookies-e. Evercookie je dizajniran tako da skladišti podatke unutar nekoliko vrsta prostora za skladištenje na sistemu na kom je instaliran, kao i da se regeneriše u slučaju da korisnik obriše cookies-e iz svog browser-a posle završetka sesije.

Kamkar je postao poznat 2005. godine kao autor Samy cross site scripting crva, koji se širio društvenom mrežom MySpace, pretvarajući svaku od njegovih žrtava u fana njegovog MySpace profila. To je bio jedan od prvih veoma raširenih malicioznih programa koji je pogodio neku od društvenih mreža, sa više od milion MySpace korisnika koji su bili pogođeni ovim napadom. Nedavno se takođe oglasio objavljujući svoje istraživanje koje pokazuje kako ranjivosti u kućnim ruterima u kombinaciji sa podacima o geolokaciji mogu otkriti stvarnu lokaciju na kojoj se nalazi internet korisnik.

“Evercookie samo demonstrira metode koje se već koriste (ili koje će početi da se koriste sa nekim od novih HTML5 tehnologija),” rekao je Kamkar za Threatpost.com. “Stvar je u tome što su sa ovim metodama upoznati samo vrhunski stručnjaci iz oblasti tehnologije.”

Kamkar, koji trenutno drži predavanja po Evropi, kaže da je Evercookie stvoren za jedan dan. “... Ljudi treba da znaju kako ih je lako pratiti,” dodaje on.

Pored stvaranja standardnog HTTP cookie-ja, Evercookie skladišti određene podatke korisnika i na drugim mestima, uključujući i LSO (local shared objects) kreiranim Adobe Flash tehnologijom. On takođe utiče na brojne HTML ekstenzije uvedene sa HTML5, kao što su HTML5 Session Storage, HTML5 Local Storage i HTML5 Global Storage.

Evercookie je dostupan kao open source kod tako da je verovatno da će uskoro biti razvijeni i načini za njegovo blokiranje. Jedini izuzetak među browser-ima za kojeg Kamkar zna je Apple-ov browser Safari. Uključivanje funkcije Private Browsing u ovom browser-u blokira sve metode koje koristi Evercookie.

Kamkar nudi različite vrste Evercookie: javascript, Adobe Flash (.SWF) and PHP.

Kamkar je rekao da ukoliko posetilac dođe na njegov sajt, bilo koji od ovih cookie tragova mu može kazati ko je posetilac, i što je još gore, on može resetovati bilo koji od cookies-a koje je posetilac sajta prethodno obrisao.

Microsoft i Google nisu se još uvek oglasili povodom ovoga pa nije poznato da li postojeće funkcije njihovih browser-a zadužene za uklanjanje cookies-a mogu da se izbore sa metodama koje koristi Evercookie.

Posledice po bezbednost koje će imati tehnologije nove generacije koje će poboljšati prezentovanje podataka na internetu i stvaranje interaktivnih web aplikacija su predmet velikih rasprava. Stručnjaci za bezbednost su upozorili da novi HTML5 web standard daje prednost funkcionalnosti na uštrb bezbednosti, omogućavajući moćnije napade na internetu.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi problemi za Huawei: Posle Googlea, i Intel, Qualcomm i Broadcom prekidaju saradnju sa kineskom kompanijom

Novi problemi za Huawei: Posle Googlea, i Intel, Qualcomm i Broadcom prekidaju saradnju sa kineskom kompanijom

Huaweijevi najveći dobavljači obustavljaju saradnju sa kineskim tehnološkim gigantom pošto je Trampova administracija prošle nedelje uvela nova ... Dalje

Državne institucije u Južnoj Koreji sa Windowsa 7 prelaze na Linux

Državne institucije u Južnoj Koreji sa Windowsa 7 prelaze na Linux

Pošto se podrška za Windows 7 ukida u januaru 2020. godine, u Microsoftu očekuju se da će sve više kompanija i državnih institucija iz celog sv... Dalje

TeamViewer je hakovan 2016. godine, kompanija prećutala incident?

TeamViewer je hakovan 2016. godine, kompanija prećutala incident?

Nemačka kompanija koja stoji iza TeamViewera, planetarno popularnog softvera koji korisnicima omogućava daljinski pristup računarima, navodno je ha... Dalje

Windows XP po drugi put dobija zakrpu posle ukidanja podrške zbog opasnog baga

Windows XP po drugi put dobija zakrpu posle ukidanja podrške zbog opasnog baga

Microsoft je objavio hitnu ispravku za RCE (Remote Code Execution) ranjivost u Remote Desktop Services u starijim verzijama Windowsa. Iz Microsofta ka... Dalje

San Francisko je prvi grad u SAD u kome je zabranjena tehnologija prepoznavanja lica

San Francisko je prvi grad u SAD u kome je zabranjena tehnologija prepoznavanja lica

San Francisko je prvi grad u Sjedinjenim Državama u kome je izričito zabranjena upotreba tehnologije prepoznavanja lica. Ljudi su se susreli sa ovom... Dalje