Nov napad na Firefox: Firefox ne zagotavlja anonimnosti

Za The Hacker Webzine se je pojavil zanimiv članek o identificiranju uporabnikov interneta, ki uporabljajo Firefox.

Programček z imenom Total Recall vsebuje dve skripti (HTML in XML). XML skripta poskuša pridobiti chrome DTD datoteke iz dodatkov za Firefox ter uporabniške nastavitve v brskalniku.

Na podlagi teh podatkov izračuna skupno kontrolno vsoto (ang. hash) uporabnikovega brskalnega okolja. Izkaže se, da so lahko v primeru, da je vhodnih podatkov dovolj veliko število, te kontrolne vsote unikatne za vsakega uporabnika. Te podatke je skupaj z IP naslovom in piškotkom mogoče shraniti v bazo na strežniku.

Kaj to pomeni v praksi?

Predpostavimo, da bodoči napadalec obišče neko spletno stran iz svojega IP naslova. Upravitelj spletne strani poleg IP naslova zabeleži tudi unikatno kontrolno vsoto uporabnikovega brskalnega okolja.

Čez nekaj časa se napadalec odloči za izvedbo napada na spletno stran. Seveda tokrat na spletno stran ne dostopi preko svojega IP naslova, pač pa uporabi posrednika (proxy) ali pa anonimizacijsko omrežje.

Napadeni strežnik tokrat sicer zabeleži IP naslov posredniškega strežnika ali izhodnega strežnika v anonimizacijskem omrežju. Vendar pa poleg tega zabeleži tudi unikatno kontrolno vsoto uporabnikovega brskalnega okolja, na podlagi česar lahko ugotovi, da je napadalec nekoč prej do spletne strani dostopil preko drugega IP naslova.

Napadu se sicer lahko izognemo z neuporabo JavaScripta, a v praksi to ni vedno mogoče. Posledica napada je, da je stopnja anonimnosti uporabnikov Firefoxa drastično zmanjšana.

Ali uporaba Firefoxa pričenja ogrožati zasebnost?