Noticias de Seguridad Informática - Segu-Info

Cargando...

domingo, 15 de agosto de 2010

17:27:00

Cuando 'Privado' significa 'casi privado'

Desde hace algún tiempo los navegadores han incorporado un método de navegación al que han denominado privado en el que se supone que toda actividad que se realice desde ese modo, debe quedar entre tu y tu conciencia.

Como viene siendo habitual cualquier axioma que implique 'certeza absoluta' suele permanecer así hasta que alguien lo mira con cierto detenimiento.

En el caso de los Navegadores y su modo privado, así ha sido. Los cuatro grandes de la navegación: Internet Explorer, Firefox, Chrome y Safari implementan el modo privado de una forma inconsistente y que permite obtener mas datos de los debidos.
El estudio disponible aquí (y bastante denso, muy de corte universitario) se puede resumir en lo siguiente:

Un navegador debería tener como 'metas' los siguientes puntos:
  • Al navegar de forma privada y luego / antes de forma normal en un site web, este no debería poder distinguir entre  uno y otro visitante (Consideraciones de IP aparte)
  • Un servidor web no debería poder distinguir al mismo usuario si este se conecta al servidor web empleando dos sesiones privadas diferentes. (Es decir, se conecta en modo privado, cierra, abre el navegador en modo privado y vuelve a conectar)
  • Un servidor web no debería poder distinguir si un usuario está usando el modo privado durante la navegación
Como se puede ver en el estudio publicado, esas tres máximas de la privacidad son subvertidas de diferentes formas.
Ejemplos de 'leaks' que no deberían estar ahí:
  • Algunos navegadores almacenan tanto en el lado 'publico' como 'privado' la actividad SSL basada en certificados digitales, es decir, aquellos que se han generado durante la navegación
  • Igualmente, algunos navegadores almacenan en modo publico / privado certificados 'self signed' (no validados por CAs de confianza) permitiendo acceder a ellos en ambos modos
  • Ficheros descargados durante la navegación privada
  • Conexiones Netbios: Explorer permite y entiende links tipo \\unamaquina\unrecurso, si un usuario en modo privado realiza una petición de ese tipo, estará enviando junto al intento de conexión mucha información.
  • Ciertas extensiones como 'No Script' que almacenan y manejan listas blancas / negras de hosts, no tienen en consideración el modo privado, por lo que tratan y almacenan los datos de forma indistinta en lado privado / lado normal
Como nota curiosa, los investigadores de la universidad de Stanford diseñaron un tipo de ataque basado en 'CSS History Hacking' (ver nuestra maquina de Zoltar) por el cual eran capaces de averiguar si alguien estaba usando el modo privado / no privado durante la navegación. Contrataron dos campañas de anuncios, una de ellas para un sitio 'de mayores' y otra en una tienda de regalos. Empleando su sistema de tracking para usuarios con navegación privada, llegaron a la conclusión de que el porcentaje de uso en un sitio 'porno' era bastante superior que en el de una tienda normal.

Autor: Yago Jesus
Fuente: Security by Default

Compartir
Publicado por - Raúl - a las 17:27:00-Permanente -
Etiquetas: ,
Posts Relacionados:

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!

Suscribirse a: Comentarios de la entrada (Atom)

Aquí y Ahora

 
 Widget de Google 

Acerca de Segu-Info

Segu-Info es un emprendimiento personal de Lic. Cristian Borghello CISSP - MVP que brinda información sobre Seguridad de la Información desde el año 2000. Segu-Info es la Comunidad de Seguridad de la Información más grande de habla hispana. Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons a menos que se indique lo contrario. Cristian Borghello no se hace responsable del contenido o comentarios de terceros.

  ©Template desarrollado por Dicas Blogger y Adaptado por SoloE para Segu-Info - 2009