RSS
Словарь компьютерных терминов    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z   .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

SYSTEM
 Windows10
  Registry Windows 10
  Windows 10 tweaks & tricks
Windows8
Tweaks & tricks
  Network settings
  Registry
Windows7
Windows7: General settings
  Windows7: Registry
  Windows7: Registry faq
  Windows7: Network settings
  Windows7: Security
  Windows7: Firewall
  Windows7: Compatibility Mode
  Windows7: Administrator Password
Windows NT/2K/XP/VISTAWindows NT/2K/XP/VISTA
Win 2K faqWin 2K faq
  Win 2K(kernel & MEM.managment)
  Win 2K и XP (Securit)
  Win 2K и XP (Boot)
  Win 2K и XP (Install)
  Win 2K и XP (Admin)
  Win 2K и XP (File system)
  Win 2K и XP (Services)
  Win 2K & XP optim & tweak
  Win XP faq
  Win XP faq #2
  Win XP faq (net)
  Win XP faq (lan)
  Win XP recover & recovery console
  WinXP & ntfs
  WinXP & game faq
  Win PE
  Win Vista
  Win Vista FAQ
  Win Server tweaks
RegistryRegistry
Reg WIN2K/XP faq
Reg WIN2K/XP faq #2
Reg NT/XP: Structure
Reg XP: Restore & backup
Reg XP: Costumize XP
Reg XP: Inet
Reg NT/XP: SAM
Reg: Inet & LAN
BIOSBIOS
BIOS faq
BIOS recover
BIOS #
computer ambulance

Apple устранила возможность HSTS-отслеживания пользователей в WebKit


HTTP Strict Transport Security представляет собой механизм, принудительно активирующий защищённое соединение через протокол HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение вместо использования HTTP-протокола.

«Это отличная функция, которая предотвращает простую ошибку от помещения пользователей в опасное состояние, например, выполнение финансовых транзакций через неаутентифицированное соединение», - отмечает инженер-программист WebKit Брент Фулхэм.

Однако, поскольку HSTS заставляет браузеры запоминать редирект на безопасный протокол и в будущем автоматически перенаправлять туда пользователя, может быть создан некий файл «super cookie», который поможет межсайтовым трекерам отслеживать пользователей.

Злоумышленник может использовать кеш HSTS для хранения одного бита информации на устройстве. Зарегистрировав большое количество доменов, и принудительно загрузив ресурсы из управляемого подмножества этих доменов, атакующий может добиться идентификации каждого посетителя.

Проблема описана в спецификациях HSTS: "для тех, кто управляет одним или несколькими Хостами HSTS, возможно кодировать информацию в доменные имена, которыми они управляют, и заставлять такие UAs кэшировать эту информацию как само собой разумеющееся в процессе определения хоста HSTS. Эта информация может быть получена другими хостами через умно построенные и загруженные веб-ресурсы, заставляя UA отправлять запросы (вариации) закодированных доменных имен.”

По словам Фулхэма, уменьшить такие атаки отслеживания не легко, так как это требует балансировки целей безопасности и конфиденциальности. Однако, поскольку риски конфиденциальности HSTS были представлены только как теоретический вектор отслеживания, а доказательства фактического злонамеренного злоупотребления протоколом еще не были предоставлены, браузеры будут соблюдать все инструкции HSTS, предоставленные сайтами.

Инженер также показывает, что Apple недавно осознала, что эта теоретическая атака может развертываться против пользователей Safari. Это побудило технологического гиганта создать решение как для защиты безопасного веб-трафика, так и для отслеживания отслеживания.

Поскольку для использования HSTS требуется создание начального идентификатора отслеживания, а затем его чтение, Apple предлагает меры по снижению риска для обеих сторон атаки.

С одной стороны, Apple пересмотрела сетевой стек, чтобы установить только состояние HSTS для загруженного имени хоста или домена верхнего уровня + 1. Таким образом, трекеры больше не могут эффективно устанавливать HSTS через большое количество различных битов, но должны индивидуально посещать каждый домен, который имеет активный бит в идентификаторе отслеживания. WebKit также перекрывает количество переадресаций, которые могут быть соединены вместе, что ограничивает количество бит, которые могут быть установлены.

С другой стороны, Apple также модифицировала движок WebKit, чтобы игнорировать запросы на обновление HSTS (и использовать исходный URL), когда динамические HSTS приводят к небезопасному стороннему субресурсу, загруженному из домена с заблокированными файлами cookie, которые обновляются до аутентифицированного соединения.


Магазин цифровой техники | Новинки магазина | Микроформаты и микроданные | Типографика в онлайн-текстах | Защита от DDoS-атак | Как добиться хорошего индексирования? | Интерактивная поисковая выдача | Использование виджетов на сайте | Эффективный e-mail-маркетинг | Оформление страницы контактов | Обратная связь с клиентами | Как завоевать доверие клиентов | Оптимизация содержимого тегов title, description, keywords | | Руководство по социальным кнопкам | Особенности продвижения коммерческих сайтов в Яндексе | Продвижение блогов | Оптимизация сайтов на платформе WordPress | Основы таргетированной рекламы в соцсетях | Оптимизация видео на YouTube для поисковых систем | Ретаргетинг и ремаркетинг | Приемы продающей рассылки | Яндекс Метрика и Google Analytics: настройка целей | Контекстная реклама: как составить эффективное объявление | Особенности контекстной рекламы для интернет-магазинов | Правила эффективного отбора доноров в ссылочных биржах | Шпионаж — двигатель маркетингового прогресса | Технологии реферального маркетинга: от простых к высокодоходным | Статейное продвижение сайта | Тизерная реклама: принципы работы, фишки, эффективность | SEO-продвижение сообществ ВКонтакте | Контентный маркетинг | Технология RTB | Что такое сквозные ссылки | Влияние ссылок на поисковую выдачу | Экзотический At the copa |   | Thunderfist - это блестяще захватывающее название тематического боевого искусства от разработчика NetEnt | Сотовые телефоны | Горячая линия бесплатной юридической консультации | Благотворительность

На главную | Cookie policy | Sitemap

 

po gonn © 2004