*Ch02 Stateful Tracking 典型与意料之外的储存位置/Day8 HSTS SuperCookie
-
HSTS:HTTP的Stirct-Transport-Security response header1.用于指定那些domain只可以用HTTPS存取2.若使用者尝试造访被登记为只能用HTTPS存取的example.com>浏<览器会自动转址(307 redirection)为https://example.com ,且这个过程与伺服器无关3.HSTS如何运作:伺服器乙HTTPS收到请求可以回应header Strict-Transport-Security:max-age=<expore-time>>浏览器收到后会将该domain加入HSTS>浏览器再次造访domain未强制连线到HTTPS4.HSTS的问题:若一个domain被加入HSTS,代表使用者造访过该domain,当攻击者尝试造访https://example.com 而浏览器直接请求,便可知使用者造访过该网页>HSTS可能洩漏浏览纪录
-
储存identifier:追踪者打算塞一个5 bit的identifier(10101),追踪者可先準备5个domain[a-e].tracker.example1.使用者第一次造访追踪者在网页插入script,浏览器发请求http://>追踪者发现是第一次造访>回应第一次造访时专用Script并指定identifier>browser>identifier-1,browser发送相对应subdomain>被请求的subdomain回传夹带HSTS>要求浏览器要用HTTPS存取2.使用者再次造访追踪者在网页插入script,浏览器发请求http://>因已设定过HSTS,浏览器会直接请求https://>追踪者发现请求是HTTPS>回应再次造访专用Script和token>browser
3.再次造访,另一种不需要由伺服器协助回传identifier的方式追踪者在网页插入script,浏览器发请求http://>因已设定过HSTS,浏览器会直接请求https://>追踪者发现请求是HTTPS>回应再次造访专用Script和token>browser>建立element<img src="">追踪者收到HTTP回应A图、收到HTTPS回应B图>CORS设定>browser上的script检视图片,A为0,B为1
-
HSTS SuperCookie的问题:1.需要请求HTTP资料但被阻挡2.若网站没有HTTPS,有远比web tracking更大的资安威胁需处理3.大量发送请求易被发现
-
HSTS SuperCookie的两种解方:1.址允许当下网域与其TLD+1可以设定HSTS2.被视为尝试追踪使用者而被阻挡的domain会忽略HSTS的纪录,所有URL照原本样子出去>读到的数值是0000
资料来源、选用书籍:<Web Tracking的资安攻击与防御策略>铁人赛专用书