4494 Letture
Quali siti avete visitato in passato: chiunque può stabilirlo

Quali siti avete visitato in passato: chiunque può stabilirlo

Un gruppo di accademici statunitensi individua nuove strategie che consentono di stabilire se un qualsiasi utente abbia già visitato una lista di siti web precompilata. Facile costruire, in pochi secondi, un profilo basato sugli interessi e le abitudini di un individuo. Ecco come funziona l'attacco.

In passato gli sviluppatori di browser hanno risolto diverse lacune che permettevano a un'applicazione web residente su server remoto di stabilire l'elenco dei siti precedentemente visitati da uno stesso utente.
Utilizzando i fogli di stile (CSS) un'applicazione web poteva verificare il comportamento del selettore :visited per verificare se un sito fosse già stato consultato dall'utente. È infatti noto che i link già visitati vengono mostrati con un colore diverso all'interno delle pagine web: controllando il comportamento lato CSS di un numero di URL inseriti in una lista era possibile stabilire se dallo stesso client ciascun sito fosse già stato raggiunto.

Quali siti avete visitato in passato: chiunque può stabilirlo

Mentre gli espedienti un tempo utilizzabili non possono essere oggi sfruttati, un team di esperti formato da alcuni accademici delle università di Stanford e San Diego hanno scoperto alcune nuove vulnerabilità che in molti casi accomunano Chrome, Firefox, Edge e Internet Explorer.


Come si può verificare in tabella, in alcuni casi viene fatto leva sulla funzionalità CSS Paint API, in altre sulle trasformazioni 3D sempre a livello di CSS, in altre ancora si sfruttano immagini SVG o cache di Chrome per verificare se un certo codice JavaScript fosse stato già caricato.

Stando a quanto si legge nel testo completo della ricerca appena pubblicata, una pagina web può verificare 6.000 URL al secondo e controllare così, in brevissimo tempo, se altri siti web fossero stati oggetto visita.
Si tratta di un espediente utilissimo ed estremamente efficace per stabilire, durante una normale sessione di navigazione quali sono le abitudini, gli interessi e le preferenze di uno stesso utente.
Esente da qualunque problema Tor Browser che già integra il codice per difendersi dagli attacchi come quello descritto: Tor Browser, cos'è e come funziona la nuova versione del programma.


Una dimostrazione che sfrutta invece HSTS (HTTP Strict Transport Security) e che non funziona perfettamente se l'utente attiva HTTPS Everywhere risale a un paio di anni fa e anche oggi sembra aver successo (con Chrome/Chromium). Portandosi in questa pagina e cliccando sul pulsante Test my browser ci si accorgerà di come, dopo pochi secondi, nella colonna di sinistra comincino a comparire gli indirizzi dei siti web visitati in passato, IlSoftware.it compreso.

Quali siti avete visitato in passato: chiunque può stabilirlo