Un investigador ha indicado dos técnicas que pueden ser explotadas por los administradores de web con intenciones maliciosas para rastrear la actividad de millones de usuarios en Internet. Una de ellas es la creación de listas con los sitios visitados por los usuarios a pesar de limpiar el historial de navegación y la otra es el seguimiento de cookies, etiquetando a los usuarios con una cookie de seguimiento que persiste incluso después de haberlas eliminado.

Dos técnicas que abusan del contenido de la política de seguridad del sitio y de HTTP Strict Transport Security o Seguridad de transporte HTTP estricta (HSTS), un mecanismo de política de seguridad web según el cual un servidor web declara sus agentes de usuario compatibles que deben interactuar con ellos únicamente mediante conexiones HTTP seguras, es decir, en capas HTTP sobre TLS/SSL.

El propio investigador, ha demostrado como los sitios web pueden aprovecharse de estos dos aspectos para rastrear incluso a los usuarios más preocupados por su seguridad en la red gracias a Sniffly, un ataque sobre estos abusos que permite que determinados sitios web puedan rastrear el historial de navegación de usuarios que utilizan los navegadores Firefox o Chrome, que es donde se han probado.

Como demostración el investigador Yan Zhu, ha dejado este enlace http://zyan.scripts.mit.edu/sniffly/ en donde puedes ver cómo te mostrará una lista exacta de los sitios web visitados. Además de rastrear el historial del navegador, Zhu también demostró cómo un sitio web puede rastrear a los usuarios de Google Chrome a pesar de que borren todas las cookies después de cada visita aprovechándose de las debilidades del HTTP Public Key Pinning (HPKP) para dar por bueno un certificado digital de conexión segura cuando realmente no lo es.

Por lo tanto, a diferencia de las cookies de los navegadores, este pasador de certificado se mantendrá intacto incluso después de que el usuario haya borrado todas sus cookies. Unas técnicas que demuestran que podemos ser rastreados por sitios web maliciosos en este sentido si se lo proponen, conociendo los dominios y subdominios, en este caso no se guardan las URL completas, de los sitios HSTS que visitamos.

Quizás te interese…

 

Fuente: The hacker news | adslzone