Wenn man bisher über verschlüsselte Verbindungen - also per HTTPS - Webseiten aufrief, konnte man relativ sicher sein, dass weder die Inhalte für andere lesbar waren noch andere einen tracken konnten. Ganz besonders galt dies für den Privaten Surf-Modus.
Die Funktion HSTS, die, salopp ausgedrückt, das Sicherheitsverhalten einer Website im Browser in einem Cookie abspeichert - also zum Beispiel, ob der Aufruf mittels HTTP auf HTTPS umgeleitet wird - kann nun mißbräuchlich genutzt werden. Aufgezeigt wird dieses auf der Demo-Website Radicalresearch von Sam Greenhalgh.
Der Browser lädt dort verschiedene Subdomains entweder über HTTP oder über HTTPS nach. Dieser Mix ist einmalig und kann somit zur Generierung eines individuellen Cookies genutzt werden, der auch von anderen Websites - mit entsprechendem Skript - ausgewertet werden kann. Somit läßt sich ein domainübergreifendes Tracking realisieren. Dieses ist auch im Private-Modus (bzw. Inkognito-Modus) möglich.
Bekannt ist dieses Verhalten schon seit mehreren Jahren, nur richtig gepatch wurde es bisher nicht.
[via: heise]
Dieser Eintrag wurde eingetragen von ednong und ist abgelegt unter Computer-Lei, Datenschutz. Tags: hsts, https, sicherheit, supercookie, tracking, werbung 
Verizon erzeugt mittels ID einen ZombieCookie
Über einen SuperCookie hatte ich ja schon berichtet, nun gibt es noch eine andere Möglichkeit.
Verizon, Netzbetreiber in den USA, erzeugt für jeden User eine ein-eindeutige ID (Verizons Unique Identifier Headers), die für diesen Us…