Cookie kojeg se ne možete otarasiti

Vesti, 24.09.2010, 01:51 AM

Cookie kojeg se ne možete otarasiti

Frankenštajn među cookies-ima! Tako je istraživač bezbednosti nazvao cookie za kojeg tvrdi da ga je skoro nemoguće ukloniti sa računara. “Evercookie”, kako glasi njegov zvaničan naziv, napravljen je sa namerom da podigne svest o lakoći sa kojom administratori web sajtova mogu izbeći funcije browser-a kojima se štiti privatnost korisnika.

Prema podacima koje je na svojoj internet stranici objavio autor, Semi Kamkar, Evercookie je JavaScript API (aplikacijski programski interfejs) koji proizvodi “veoma otporne” browser cookies-e. Evercookie je dizajniran tako da skladišti podatke unutar nekoliko vrsta prostora za skladištenje na sistemu na kom je instaliran, kao i da se regeneriše u slučaju da korisnik obriše cookies-e iz svog browser-a posle završetka sesije.

Kamkar je postao poznat 2005. godine kao autor Samy cross site scripting crva, koji se širio društvenom mrežom MySpace, pretvarajući svaku od njegovih žrtava u fana njegovog MySpace profila. To je bio jedan od prvih veoma raširenih malicioznih programa koji je pogodio neku od društvenih mreža, sa više od milion MySpace korisnika koji su bili pogođeni ovim napadom. Nedavno se takođe oglasio objavljujući svoje istraživanje koje pokazuje kako ranjivosti u kućnim ruterima u kombinaciji sa podacima o geolokaciji mogu otkriti stvarnu lokaciju na kojoj se nalazi internet korisnik.

“Evercookie samo demonstrira metode koje se već koriste (ili koje će početi da se koriste sa nekim od novih HTML5 tehnologija),” rekao je Kamkar za Threatpost.com. “Stvar je u tome što su sa ovim metodama upoznati samo vrhunski stručnjaci iz oblasti tehnologije.”

Kamkar, koji trenutno drži predavanja po Evropi, kaže da je Evercookie stvoren za jedan dan. “... Ljudi treba da znaju kako ih je lako pratiti,” dodaje on.

Pored stvaranja standardnog HTTP cookie-ja, Evercookie skladišti određene podatke korisnika i na drugim mestima, uključujući i LSO (local shared objects) kreiranim Adobe Flash tehnologijom. On takođe utiče na brojne HTML ekstenzije uvedene sa HTML5, kao što su HTML5 Session Storage, HTML5 Local Storage i HTML5 Global Storage.

Evercookie je dostupan kao open source kod tako da je verovatno da će uskoro biti razvijeni i načini za njegovo blokiranje. Jedini izuzetak među browser-ima za kojeg Kamkar zna je Apple-ov browser Safari. Uključivanje funkcije Private Browsing u ovom browser-u blokira sve metode koje koristi Evercookie.

Kamkar nudi različite vrste Evercookie: javascript, Adobe Flash (.SWF) and PHP.

Kamkar je rekao da ukoliko posetilac dođe na njegov sajt, bilo koji od ovih cookie tragova mu može kazati ko je posetilac, i što je još gore, on može resetovati bilo koji od cookies-a koje je posetilac sajta prethodno obrisao.

Microsoft i Google nisu se još uvek oglasili povodom ovoga pa nije poznato da li postojeće funkcije njihovih browser-a zadužene za uklanjanje cookies-a mogu da se izbore sa metodama koje koristi Evercookie.

Posledice po bezbednost koje će imati tehnologije nove generacije koje će poboljšati prezentovanje podataka na internetu i stvaranje interaktivnih web aplikacija su predmet velikih rasprava. Stručnjaci za bezbednost su upozorili da novi HTML5 web standard daje prednost funkcionalnosti na uštrb bezbednosti, omogućavajući moćnije napade na internetu.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju

Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju

LastPass je objavio da su prevaranti pokušali da prevare jednog od zaposlenih u kompaniji koristeći lažnu glasovnu poruku izvršnog direktora Last... Dalje

Istraživanje otkriva da većina ljudi ima između 3 i 10 onlajn naloga, ali stvaran broj bi mogao biti i mnogo veći

Istraživanje otkriva da većina ljudi ima između 3 i 10 onlajn naloga, ali stvaran broj bi mogao biti i mnogo veći

Hteli to ili ne, onlajn nalozi su sada sastavni deo naših života. Broj naloga na mreži koje neko ima direktno je propcionalan šansi da postane žr... Dalje

Apple ažurira sistem upozorenja o špijunskom softveru

Apple ažurira sistem upozorenja o špijunskom softveru

Apple je revidirao svoju dokumentaciju u vezi sa sistemom upozoravanja za pretnje od komercijalnog špijunskog softvera, precizirajući da kompanija ... Dalje

Poznati YouTube kanali se ponovo koriste za širenje opasnih malvera

Poznati YouTube kanali se ponovo koriste za širenje opasnih malvera

Hakeri sve više koriste YouTube za distribuciju malvera za krađu informacija (infostealer) prisvajanjem legitimnih kanala, ali i korišćenjem sops... Dalje

Iako Apple godinama tvrdi drugačije, zaštite privatnosti na njegovim uređajima su upitne

Iako Apple godinama tvrdi drugačije, zaštite privatnosti na njegovim uređajima su upitne

Grupa istraživača sa katedre za računarske nauke Univerziteta Aalto u Finskoj objavila je rezultate studije prema kojima je „praktično je ne... Dalje