Cookie kojeg se ne možete otarasiti

Vesti, 24.09.2010, 01:51 AM

Cookie kojeg se ne možete otarasiti

Frankenštajn među cookies-ima! Tako je istraživač bezbednosti nazvao cookie za kojeg tvrdi da ga je skoro nemoguće ukloniti sa računara. “Evercookie”, kako glasi njegov zvaničan naziv, napravljen je sa namerom da podigne svest o lakoći sa kojom administratori web sajtova mogu izbeći funcije browser-a kojima se štiti privatnost korisnika.

Prema podacima koje je na svojoj internet stranici objavio autor, Semi Kamkar, Evercookie je JavaScript API (aplikacijski programski interfejs) koji proizvodi “veoma otporne” browser cookies-e. Evercookie je dizajniran tako da skladišti podatke unutar nekoliko vrsta prostora za skladištenje na sistemu na kom je instaliran, kao i da se regeneriše u slučaju da korisnik obriše cookies-e iz svog browser-a posle završetka sesije.

Kamkar je postao poznat 2005. godine kao autor Samy cross site scripting crva, koji se širio društvenom mrežom MySpace, pretvarajući svaku od njegovih žrtava u fana njegovog MySpace profila. To je bio jedan od prvih veoma raširenih malicioznih programa koji je pogodio neku od društvenih mreža, sa više od milion MySpace korisnika koji su bili pogođeni ovim napadom. Nedavno se takođe oglasio objavljujući svoje istraživanje koje pokazuje kako ranjivosti u kućnim ruterima u kombinaciji sa podacima o geolokaciji mogu otkriti stvarnu lokaciju na kojoj se nalazi internet korisnik.

“Evercookie samo demonstrira metode koje se već koriste (ili koje će početi da se koriste sa nekim od novih HTML5 tehnologija),” rekao je Kamkar za Threatpost.com. “Stvar je u tome što su sa ovim metodama upoznati samo vrhunski stručnjaci iz oblasti tehnologije.”

Kamkar, koji trenutno drži predavanja po Evropi, kaže da je Evercookie stvoren za jedan dan. “... Ljudi treba da znaju kako ih je lako pratiti,” dodaje on.

Pored stvaranja standardnog HTTP cookie-ja, Evercookie skladišti određene podatke korisnika i na drugim mestima, uključujući i LSO (local shared objects) kreiranim Adobe Flash tehnologijom. On takođe utiče na brojne HTML ekstenzije uvedene sa HTML5, kao što su HTML5 Session Storage, HTML5 Local Storage i HTML5 Global Storage.

Evercookie je dostupan kao open source kod tako da je verovatno da će uskoro biti razvijeni i načini za njegovo blokiranje. Jedini izuzetak među browser-ima za kojeg Kamkar zna je Apple-ov browser Safari. Uključivanje funkcije Private Browsing u ovom browser-u blokira sve metode koje koristi Evercookie.

Kamkar nudi različite vrste Evercookie: javascript, Adobe Flash (.SWF) and PHP.

Kamkar je rekao da ukoliko posetilac dođe na njegov sajt, bilo koji od ovih cookie tragova mu može kazati ko je posetilac, i što je još gore, on može resetovati bilo koji od cookies-a koje je posetilac sajta prethodno obrisao.

Microsoft i Google nisu se još uvek oglasili povodom ovoga pa nije poznato da li postojeće funkcije njihovih browser-a zadužene za uklanjanje cookies-a mogu da se izbore sa metodama koje koristi Evercookie.

Posledice po bezbednost koje će imati tehnologije nove generacije koje će poboljšati prezentovanje podataka na internetu i stvaranje interaktivnih web aplikacija su predmet velikih rasprava. Stručnjaci za bezbednost su upozorili da novi HTML5 web standard daje prednost funkcionalnosti na uštrb bezbednosti, omogućavajući moćnije napade na internetu.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Napadači koriste bag u popularnom WordPress dodatku, vlasnicima sajtova se savetuje da ga odmah uklone

Napadači koriste bag u popularnom WordPress dodatku, vlasnicima sajtova se savetuje da ga odmah uklone

Istraživači kompanije Wordfence otkrili su do sada nepoznatu ranjivost u ThemeREX Addons, WordPress dodatku instaliranom na hiljadama web sajtova, k... Dalje

Bivši direktor Amazona izjavio da isključuje pametne zvučnike njegove bivše kompanije kada želi malo privatnosti

Bivši direktor Amazona izjavio da isključuje pametne zvučnike njegove bivše kompanije kada želi malo privatnosti

Bivši izvršni direktor Amazona Robert Frederik otkrio je u intervjuu koji je nedavno dao za BBC da iako koristi Alexa zvučnike kod kuće, obično ... Dalje

Trojanac AZORult inficira računare preko lažnih ProtonVPN instalacionih programa

Trojanac AZORult inficira računare preko lažnih ProtonVPN instalacionih programa

Istraživači Kapersky Laba otkrili su lažni web sajt ProtonVPN-a koji je od novembra prošle godine korišćen za širenje AZORult malvera. ProtonV... Dalje

Sud naredio Googleu da otkrije identitet korisnika koji je objavio negativnu kritiku za jednu ordinaciju

Sud naredio Googleu da otkrije identitet korisnika koji je objavio negativnu kritiku za jednu ordinaciju

Najgora noćna mora vlasnika malih firmi je da im neko ostavi negativan komentar na popularnom web sajtu. To se dogodilo Marku Kababeu, stomatologu k... Dalje

Rusija blokirala još jednog email provajdera koji nudi uslugu šifrovane komunikacije

Rusija blokirala još jednog email provajdera koji nudi uslugu šifrovane komunikacije

U petak, 14. februara, dok je svet bio zauzet proslavom Dana zaljubljenih, Rusija je bila zauzeta novim ograničenjima internet komunikacija, što se ... Dalje