Prywatność" Nie tak prywatne po wszystkim

Wszystkie główne przeglądarki internetowe mają tryb prywatności, który ma pokrywać ślady użytkownika po zakończeniu sesji internetowej, ale trzy osoby badawcze odkryły, że te tryby nie usuwają wszystkich śladów działalności internauty.

Na przykład, Mozilla Firefox ma coś, co nazywa się "niestandardowym protokołem obsługi", który tworzy adresy URL, które kręcą się nawet po opuszczeniu przez użytkownika trybu prywatności.

Grafika: certyfikaty Petera i Marii HoeySecure mogą być również wykorzystywane do udaremnienia tego celu trybów prywatności. Firefox, Internet Explorer i Safari obsługują wszystkie certyfikaty klienta SSL. Witryna internetowa, za pośrednictwem JavaScript, może polecić przeglądarce wygenerowanie pary klucza publicznego / prywatnego klienta SSL. Ta para kluczy jest zachowywana przez przeglądarkę nawet po zakończeniu sesji prywatności. Ponadto, jeśli witryna używa samopodpisanego certyfikatu, IE i Safari będą przechowywać ją lokalnie w skarbcu certyfikatów firmy Microsoft i pozostaną tam po zakończeniu sesji prywatności. Każdy, kto wie, gdzie go szukać, może go znaleźć i uzyskać informacje o podróżach internetowych użytkownika.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Internet Explorer także wieje okładkę użytkownika w prywatność w trybie inicjowania żądań SMB na serwerze WWW. "Nawet jeśli użytkownik znajduje się za serwerem proxy, czyści stan przeglądarki i korzysta z InPrivate, połączenia SMB identyfikują użytkownika na stronie zdalnej", naukowcy - Gaurav Aggarwal i Dan Boneh ze Stanford University i Colin Jackson z Carnegie Mellon University - napisał w gazecie, która ma zostać zaprezentowana w przyszłym tygodniu na Sympozjum Bezpieczeństwa Usenix w Waszyngtonie,

Jednakże, trio wykryło, że usterka SMB może być nieistotna, ponieważ wielu ISP filtruje port SMB 445.

Oni podniósł także czerwoną flagę o potencjale dodatków przeglądarki, aby podważyć tryby prywatności. "Dodatki do przeglądarek (rozszerzenia i wtyczki) stanowią zagrożenie prywatności dla przeglądania prywatnego, ponieważ mogą utrzymywać stan dysku na temat zachowania użytkownika w trybie prywatnym", napisali naukowcy.

"Twórcy tych dodatków być może nie brały pod uwagę trybu przeglądania prywatnego podczas projektowania oprogramowania, a ich kod źródłowy nie podlega tak rygorystycznej kontroli nad przeglądarkami "- dodali.

Naukowcy odkryli również sposób dla Webmasterów na określenie, czy użytkownik był dostęp do ich strony w trybie prywatności. Przyznali jednak, że technika, której użyli, wykorzystała atak, który został już naprawiony w Safari, wkrótce został zamknięty w Firefoksie i prawdopodobnie wkrótce zostanie zamknięty w IE i Chrome.

Najważniejsze z nich badania trio: Nie rób niczego w trybie prywatności, którego nie zrobiłbyś ze swoim szefem, który przeszukał Twoje ramię.