Modalità di privacy del browser non così private dopo tutto

Tutti i principali browser Web hanno una modalità di privacy che dovrebbe coprire le tracce di un utente dopo aver terminato una sessione Internet, ma un trio di ricercatori ha scoperto che queste modalità non riescono a eliminare tutte le tracce delle attività di un navigatore..

Ad esempio, Mozilla Firefox ha qualcosa chiamato "protocollo gestore personalizzato" che crea URL che rimangono in attesa anche dopo che un utente lascia la modalità privacy.

Grafica: i certificati Peter e Maria HoeySecure possono anche essere utilizzati per contrastare lo scopo delle modalità di privacy. Firefox, Internet Explorer e Safari supportano tutti l'uso dei certificati client SSL. Un sito Web, tramite JavaScript, può istruire un browser a generare una coppia di chiavi pubblica / privata del client SSL. Quella coppia di chiavi viene mantenuta dal browser anche dopo la fine della sessione di privacy. Inoltre, se un sito utilizza un certificato autofirmato, IE e Safari lo memorizzeranno localmente in un vault del certificato Microsoft e rimarrà lì quando termina la sessione sulla privacy. Quindi chiunque sappia dove cercarlo può trovarlo e dare un'occhiata ai viaggi in Internet di un utente.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Internet Explorer blocca anche la copertura di un utente nella privacy modalità quando avvia richieste SMB con un server Web. "Anche se l'utente è dietro un proxy, cancella lo stato del browser e utilizza InPrivate, le connessioni SMB identificano l'utente al sito remoto", i ricercatori - Gaurav Aggarwal e Dan Boneh, della Stanford University e Colin Jackson, di Carnegie Mellon University - ha scritto in un documento che dovrebbe essere presentato la prossima settimana all'USenix Security Symposium di Washington, DC

Tuttavia, il trio ha scoperto che il difetto SMB può essere trascurabile perché molti ISP filtrano la porta SMB 445.

Loro ha anche alzato una bandiera rossa sul potenziale per i componenti aggiuntivi del browser di minare le modalità di privacy. "I componenti aggiuntivi del browser (estensioni e plug-in) rappresentano un rischio per la privacy per la navigazione privata perché possono persistere sullo stato del comportamento di un utente in modalità privata", hanno scritto i ricercatori.

"Gli sviluppatori di questi componenti aggiuntivi potrebbe non aver considerato la modalità di navigazione privata durante la progettazione del loro software e il loro codice sorgente non è soggetto allo stesso scrutinio rigoroso a cui sono sottoposti i browser ", hanno aggiunto.

I ricercatori hanno anche scoperto un modo per i webmaster di determinare se un utente fosse accedere al loro sito in modalità privacy. Hanno riconosciuto, tuttavia, che la tecnica utilizzata hanno sfruttato un attacco che era già stato risolto in Safari, che presto sarebbe stato chiuso in Firefox e che presto sarebbe stato chiuso in IE e Chrome.

La linea di fondo da la ricerca del trio: non fare nulla in modalità privacy che non faresti con il tuo capo che guarda da dietro le spalle.