Cookie kojeg se ne možete otarasiti

Vesti, 24.09.2010, 01:51 AM

Cookie kojeg se ne možete otarasiti

Frankenštajn među cookies-ima! Tako je istraživač bezbednosti nazvao cookie za kojeg tvrdi da ga je skoro nemoguće ukloniti sa računara. “Evercookie”, kako glasi njegov zvaničan naziv, napravljen je sa namerom da podigne svest o lakoći sa kojom administratori web sajtova mogu izbeći funcije browser-a kojima se štiti privatnost korisnika.

Prema podacima koje je na svojoj internet stranici objavio autor, Semi Kamkar, Evercookie je JavaScript API (aplikacijski programski interfejs) koji proizvodi “veoma otporne” browser cookies-e. Evercookie je dizajniran tako da skladišti podatke unutar nekoliko vrsta prostora za skladištenje na sistemu na kom je instaliran, kao i da se regeneriše u slučaju da korisnik obriše cookies-e iz svog browser-a posle završetka sesije.

Kamkar je postao poznat 2005. godine kao autor Samy cross site scripting crva, koji se širio društvenom mrežom MySpace, pretvarajući svaku od njegovih žrtava u fana njegovog MySpace profila. To je bio jedan od prvih veoma raširenih malicioznih programa koji je pogodio neku od društvenih mreža, sa više od milion MySpace korisnika koji su bili pogođeni ovim napadom. Nedavno se takođe oglasio objavljujući svoje istraživanje koje pokazuje kako ranjivosti u kućnim ruterima u kombinaciji sa podacima o geolokaciji mogu otkriti stvarnu lokaciju na kojoj se nalazi internet korisnik.

“Evercookie samo demonstrira metode koje se već koriste (ili koje će početi da se koriste sa nekim od novih HTML5 tehnologija),” rekao je Kamkar za Threatpost.com. “Stvar je u tome što su sa ovim metodama upoznati samo vrhunski stručnjaci iz oblasti tehnologije.”

Kamkar, koji trenutno drži predavanja po Evropi, kaže da je Evercookie stvoren za jedan dan. “... Ljudi treba da znaju kako ih je lako pratiti,” dodaje on.

Pored stvaranja standardnog HTTP cookie-ja, Evercookie skladišti određene podatke korisnika i na drugim mestima, uključujući i LSO (local shared objects) kreiranim Adobe Flash tehnologijom. On takođe utiče na brojne HTML ekstenzije uvedene sa HTML5, kao što su HTML5 Session Storage, HTML5 Local Storage i HTML5 Global Storage.

Evercookie je dostupan kao open source kod tako da je verovatno da će uskoro biti razvijeni i načini za njegovo blokiranje. Jedini izuzetak među browser-ima za kojeg Kamkar zna je Apple-ov browser Safari. Uključivanje funkcije Private Browsing u ovom browser-u blokira sve metode koje koristi Evercookie.

Kamkar nudi različite vrste Evercookie: javascript, Adobe Flash (.SWF) and PHP.

Kamkar je rekao da ukoliko posetilac dođe na njegov sajt, bilo koji od ovih cookie tragova mu može kazati ko je posetilac, i što je još gore, on može resetovati bilo koji od cookies-a koje je posetilac sajta prethodno obrisao.

Microsoft i Google nisu se još uvek oglasili povodom ovoga pa nije poznato da li postojeće funkcije njihovih browser-a zadužene za uklanjanje cookies-a mogu da se izbore sa metodama koje koristi Evercookie.

Posledice po bezbednost koje će imati tehnologije nove generacije koje će poboljšati prezentovanje podataka na internetu i stvaranje interaktivnih web aplikacija su predmet velikih rasprava. Stručnjaci za bezbednost su upozorili da novi HTML5 web standard daje prednost funkcionalnosti na uštrb bezbednosti, omogućavajući moćnije napade na internetu.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti

Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti

Google je najavio značajne izmene pravila za Chrome ekstenzije koje će od programera zahtevati znatno veću transparentnost u vezi sa prikupljanjem ... Dalje

AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad

AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad

Za ransomware napade ljudi više nisu potrebni: po prvi put, agent veštačke inteligencije je samostalno izvršio ransomware napad, iskorišćavajuc... Dalje

Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu

Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu

Sve više stručnjaka upozorava roditelje da dobro razmisle pre nego što objave fotografije ili video snimke svoje dece na internetu, jer razvoj veš... Dalje

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google je saopštio da je značajno poremetio rad jednog od najvećih rezidencijalnih proksi botneta na svetu, poznatog pod nazivom NetNut, koji je pr... Dalje

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje