Security HSTS als Supercookie

rat

Stammuser
Gerade bei heise gelesen das es einen Supercookie gibt der auch in den Inkognito Mdous greifen kann und asich unter umständen nie mehr aus dem Browser entfernen lässt.

Security-Funktion HSTS als Supercookie | heise Security


Abhörschutz als Supercookie | heise Security


Die Meldung hat bei mir gleich alle Alarmglocken läuten lassen und dann wider normalisiert als ich die testseite betrat.


RadicalResearch HSTS Super Cookies


Ruft man die Seite nun auf wird ein Cookie gespeichert,geht man nun in den Inkognito modus wird die Tracking-ID ausgelesen aber was heise nicht dabei erwähnt und das ist es was entscheident ist,nur wen man auch Cookies speichert den meine Tracking-ID wurde nicht ausgelesen da ich keine Cookies speicher und wen dann nur von bestimmten webseite so das ich meine Cookies auch überschaubar habe und weiß welcher Cookie zu welcher Website gehört.


Im ersten Moment erscheint dies als Ultra gefährlich allein schn wegen dem Wort Supercookie,es ist natürlich nicht auf die leichte Schulter zu nehmen aber jetzt auch nicht die alles Datenklau Superwaffe.


No Cookie no Spy
 
Zuletzt bearbeitet:

SchwarzeBeere

Moderator
Mitarbeiter
Gerade im Firefox ausprobiert, der scheint immun dagegen zu sein.

Insgesamt scheint das aber auch nichts mit Cookies zu tun zu haben, sondern eher damit, wie die einzelnen Browser HSTS implementiert haben:
- Abfrage 1.host.tld -> HSTS an, Return: 1
- Abfrage 2.host.tld -> HSTS an, Return: 1
- Abfrage 3.host.tld -> HSTS aus, Return: 0
- ...
Dank HSTS merkt sich der Browser, welchen Host er mit TLS ansprechen soll und welchen nicht. Das Ergebnis ist daher ein eindeutiger String 1100011010.., den der Browser aufgrund der HSTS vom Server selbst erstellt. Der HSTS Status einer Seite wird allerdings nicht in einem Cookie gespeichert, sondern im Browser, also vielmehr analog zu einem Cookie. Chrome scheint nun den Status aus der normalen Session in die Inkognito-Session zu übernehmen und nicht, wie Cookies, zusammen mit dem Profil verwirft. Das Abschalten von Cookies bringt dir also herzlich wenig.
 
Zuletzt bearbeitet:

rat

Stammuser
Hatte bei mir aber nicht funktioniert als ich Cookies aus hatte und Firefox/Tor Browser funktionierte es bei mir aber auch erst als Cookies an waren.

Da scheint ja was faul zu sein.
 
F

Fluffy

Guest
Tja, dann ab mit den Browsern in die Sanbox, und vor einen Abschalten immer schön die Lesezeichen sichern bevor das Profil zerhauen wird.

FF34 übernimmt die HSTS-Infos nicht in den Inkognitomodus.
Habe bislang auch keine Einstellung gefunden die Informationen wieder zu löschen.

Gruß

Fluffy
 

rat

Stammuser
So also laut Heise liest die Testseite im Inkognito-Modus die Tracking-ID der Hauptsitzung aus,Bei mir aber nicht da Cookies deaktiviert.
m6ivc2zz.png


und jetzt hab ich Cookies an und der liest die Falsche Tracking-ID aus, Chrome v39.0.2171.95 m

dnam25w9.png


Im Tor Browser v4.0.2 macht er es.

sry8ek5n.png


Und Firefox v34.0.5 auch nicht.

rzwpzwui.png
 
Zuletzt bearbeitet:
Oben