Proponha uma correção, faça uma sugestão
Modo incógnito? Os “Super Cookies” vigiam-no na mesma!
A privacidade é hoje um dos temas mais abordados no mundo da Internet. É verdade que nos últimos tempos têm sido disponibilizados/activados vários mecanismos para que o utilizador proteja a sua identidade enquanto navega, mas não é fácil “apagar” ou esconder a pegada digital.
Um desses mecanismos, disponibilizado pela maioria dos browser, é o modo anónimo. Mas será que nos garante verdadeiramente o anonimato? Ao que parece….não!
A navegação em modo anónimo dá uma certa segurança aos utilizadores que querem proteger a sua identidade enquanto navegam. No entanto, de acordo com o investigador na área de Segurança, Sam Greenhalgh, o modo seguro não é de facto tão seguro até porque os “Super Cookies” conseguem na mesma manter o registo das páginas visitadas.
De acordo com a informação publicada no site arstechnica, o protocolo de segurança HTTP Strict Transport Security (HSTS) é vulnerável. Este protocolo foi criado com o objectivo de garantir segurança adicional enquanto se navega na Internet, forçando que a comunicação a um site tente ser sempre via HTTPS.
No entanto o investigador Sam Greenhalgh apresentou o HSTS Super Cookies, um mecanismo capaz de ultrapassar a segurança do HSTS. Tal como os cookie tradicionais, que guardam várias informações dos sites que visitamos mas que apenas funcionam em modo não anónimo, os Super Cookies têm a mesma funcionalidade mas funcionam em modo anónimo, conseguindo fazer o tracking da navegação.
Como tudo funciona?
Para cada site, o HSTS guarda informações sobre a segurança do site.. Se o utilizador visitar um site em que o HSTS está activo, então o browser irá de imediato estabelecer a comunicação via HTTPS pois tem essa indicação.
Este redireccionamento protege o acesso do utilizador ao site, mas pode ser “usado” por sites maliciosos uma vez que os dados do browser podem ser manipulados e posteriormente obtidos por outros sites.
Para demonstrar tal vulnerabilidade, Sam Greenhalgh criou um site para o efeito. Podem aceder e verificar aqui.
Segundo as informações, esta vulnerabilidade afecta algumas versões do Firefox e também do Chrome para Windows. O Internet Explorer não é vulnerável uma vez que não suporta HSTS.
Este artigo tem mais de um ano
Loading ...
Devo dizer que o Firefox ja nao tem esse problema que foi resolvido exatamente ontem
Nem muitas das VPN’s nos garantem anonimato na web, quanto mais os modos incógnito…
a maioria das VPn’s faz MIM e depois vende a tua info 🙂
JS desactivado para a maior parte dos sites. Não tenho esse problema.
http://i.imgur.com/RVqfEJz.png
Para ver os dados HSTS no chrome/opera about:net-internals > HSTS
http://s1.postimg.org/xxfo26cmn/Sem_T_tulo.png
“A vulnerabilidade afecta todas as versões do Chrome e do Safari, e algumas antigas do Firefox (da 33 para trás). Em alguns navegadores é possível contornar a falha apagando todos os cookies antes de iniciar uma sessão privada. Infelizmente, isso parece não funcionar no iOS.” (in DD)
podem ser apagados esses supercookies manualmente?
Estive a testar no meu ios 7 com o Safari e se eu fechar os separadores e terminar o processo não acontece isso. Ou seja depois de fechar os separadores e terminar o processo, da próxima vez que vou ao site é um outro id.
“… o Internet Explorer não é vulnerável uma vez que não suporta HSTS”…não é significativo e nada é 100%(nem de perto) seguro na net,mas continuo a considerar o IE o browser mais SEGURO para navegar na net.Sou do contra…
Pode não ser mais seguro, mas gosto do Firefox com o NoScript e AdBlock Plus… a navegação é bastante mais rápida.