Navigaweb.net

Migliori siti, programmi e applicazioni su Navigaweb.net

Programmi Guide PC Tecnologia Sicurezza Windows Rete iPhone Android Facebook Immagini Musica Giochi

I siti possono sapere cosa vediamo online

Pubblicato il: 28 ottobre 2015 Aggiornato il:
Grazie a una tecnica di sniffing, un sito web può sapere i dettagli di tutte le nostre attività su Internet e i siti che abbiamo visitato
siti che controllano A seconda di come sono fatti, i siti web sono capaci di sapere i dettagli di tutte le nostre attività su Internet.
E non serve a nulla eliminare la cronologia di navigazione e cancellare tutti i cookie salvati.
Secondo una recente ricerca infatti, un sito può sapere quali siti visitiamo anche se sul browser è stata svuotata la cronologia.
La tecnica si basa su una debolezza di un criterio di sicurezza di Chrome e Firefox chiamato HSTS (HTTP Strict Transport Security), per monitorare anche l'utente più paranoico, permettendo a un sito web di sniffare la lista dei siti visitati in precedenza da un utente.
HTTP Strict Transport è quella tecnologia di sicurezza che utilizzano molti siti in https, per dire al browser di stabilire solo una connessione HTTPS o di rifiutarla in caso non sia possibile.
L'effetto collaterale di HSTS è che può essere utilizzato per monitorare gli utenti su Internet.

Per dimostrare che questa vulnerabilità è vera ed esiste basta andare in questa pagina dimostrativa sul sito http://zyan.scripts.mit.edu/sniffly/ usando Chrome Firefox e Opera.
Dopo il caricamento si riconosceranno, sul lato sinistro della pagina, tanti siti che abbiamo visitato di recente.
Il trucco usato è anche spiegato: sulla pagina sono incorporate immagini inesistenti da popolari siti che usano HSTS.
Se il sito è stato visitato in passato, il browser riconosce l'errore dell'immagine inesistente in poco tempo, altrimenti ci mette più tempo.
Sulla base di questa differenza di tempo, la pagina riesce a capire se siamo stati o no su un sito.
Questa tecnica è in grado di rilevare le impronte digitali di ciascun utente su un sito protetto con https e riesce ad estrarre la lista dei siti visitati.
La cosa brutta è che questo trucco funziona anche se si cancella la cronologia del browser, perchè legge informazioni dai certificati di protezione https, che non si possono eliminare dalle impostazioni del browser.
L'unico modo di far fallire la tecnica di sniffing è quella di usare sul browser l'estensione https Everywhere, che diventa sempre di più importante e fondamentale per proteggere le connessioni ai siti che richiedono l'inserimento di password e di informazioni sensibili.

Tutto questo è solo una curiosità interessante, qualcosa contro cui non si può combattere, qualcosa che non fa altro che confermare che su internet la privacy completa, nonostante ogni sforzo, sia semplicemente impossibile.
Restano comunque valide le guide su come proteggere privacy su internet.

Scrivi un commento

Per commentare, si può usare un account Google / Gmail.
Se vi piace e volete ringraziare, condividete! (senza commento)
3 Commenti
  • GG
    28/10/15

    non ne ha beccato uno. A quanto pare non ho la vulnerabilità o l'hanno già corretta in firefox.

  • triser48
    29/10/15

    Ciao Claudio, ....e per quanto riguarda Internet Explorer??

  • Claudio Pomes
    29/10/15

    basta che apri quella pagina e fai una prova, non è però citato tra i browser vulnerabili