31/8/2016
Czyli do czego zdolne jest HSTS super cookie.
In short, an attacker could set HSTS on or off for an arbitrary number of subdomains for a domain they own. Then, if they embed requests to these subdomains in a page and observe whether or not your browsers makes the requests using HTTP or HTTPS they can effectively fingerprint your browser.
Ciekawe jest zwłaszcza połączenie powyższego z dyrektywą CSP wymagającą ładowania obrazków po HTTP, co pozwoli na ustalenie na jakich stronach bywała ofiara. Konflikt pomiędzy HSTS a CSP i zbadanie czasu odpowiedzi pozwoli przewidzieć czy ktoś był na danej stronie wcześniej i otrzymał HSTS, czy go nie było.
Do powyższego dochodzi złośliwe dodawanie domen na HSTS Preload lists, lub ustawienie zbyt długiego czasu wygaśnięcia tokenu. Urocze są także terminy HPKP Suicide i HPKP Ransom.
Rozpocznij dyskusję, bądź pierwszy... ;-)
Dodaj komentarz