È possibile utilizzare HPKP per tenere traccia degli utenti?

5

Esiste già una vasta gamma di "supercookies" e metodi di fingerprinting del browser. Mi chiedo se HPKP offra ancora un altro metodo per tracciare gli utenti?

Un server potrebbe inviare una chiave di backup extra che non è destinata a essere utilizzata come chiave pubblica, ma invece è un identificatore univoco per quel visitatore. Il browser lo memorizzerà felicemente e lo manterrà anche se la cronologia di navigazione e i cookie vengono scaricati. Se la chiave potrebbe essere in qualche modo recuperata dal client (senza dover provare tutte le chiavi possibili finché non ne trovi una che lo convalida) potrebbe essere utilizzata per il tracciamento degli utenti.

Quindi le mie domande sono:

  • Questo può essere fatto?
  • Viene infatti utilizzato in natura?
  • C'è un modo per proteggersi se non spegnere completamente HPKP?
posta Anders 08.06.2016 - 12:56
fonte

1 risposta

4

HPKP potrebbe essere utilizzato per il tracciamento su larga scala poiché ha URI di report:

  1. Invia intestazione HPKP con includeSubdomains impostato e un rapporto-uri con un parametro generato casualmente univoco.
  2. Incorpora un'immagine nascosta da un sottodominio che utilizza un certificato non valido / non appuntato.
  3. Il browser chiama report-uri con parametro univoco.

Solo il problema che vedo è un nuovo report-uri con il nuovo UID che viene emesso ogni volta che l'utente visita il sito che imposta l'UID.

Vedi anche sezione Considerazioni sulla privacy della RFC HPKP .

    
risposta data 08.06.2016 - 14:23
fonte

Leggi altre domande sui tag