Criteo misbruikte HSTS-beveiliging om Safari-gebruikers te volgen
Advertentiebedrijf Criteo heeft een belangrijke beveiligingsmaatregel genaamd HSTS misbruikt om Safari-gebruikers op het internet te volgen. HSTS staat voor HTTP Strict Transport Security en zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd.
De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Criteo gebruikte HSTS om data in de browsercache van de gebruiker te krijgen waarmee een unieke identifier werd geproduceerd. Via deze identifier is het mogelijk om Safari-gebruikers te herkennen en ze vervolgens te profileren.
De techniek werkt mede omdat HSTS-data lastig in Safari is te verwijderen, aldus de Amerikaanse burgerrechtenbeweging EFF. De gebruiker moet namelijk de gehele cache legen om de identifier te verwijderen. Begin deze maand heeft Apple echter een update voor iOS en Safari uitgebracht die het misbruik van HSTS op deze manier voorkomt. Het is niet de eerste keer dat Apple dit jaar de dubieuze praktijken van Criteo dwarsboomt.
Safari blokkeert standaard cookies van derde partijen. Alleen de website die de gebruiker bezoekt mag een cookie plaatsen. Advertentiebedrijven zoals Criteo kunnen alleen zogeheten third-party cookies plaatsen, omdat de gebruiker niet direct hun domein bezoekt. Bij Safari kunnen advertentiebedrijven daardoor geen cookies plaatsen. Criteo vond echter een manier waarbij het Safari-gebruikers onzichtbaar naar Criteo.com leidde en vervolgens zo alsnog een cookie kon plaatsen.
Deze zomer kwam Apple echter met een update voor Safari die de browser van Intelligent Tracking Prevention (ITP) voorziet. ITP zorgt ervoor dat onzichtbare redirects, zoals Criteo gebruikte, niet meer voldoende zijn voor het plaatsen van een cookie. Daarop kwam het advertentiebedrijf met de HSTS-methode, die inmiddels ook niet meer werkt. De EFF maakt zich echter zorgen dat Criteo onderdeel van het Acceptable Ads initiatief is. Dit initiatief is bedacht door het bedrijf achter AdBlock Plus, de populairste adblocker op internet. Advertentiebedrijven betalen Adblock Plus zodat hun advertenties standaard niet worden geblokkeerd. Ook advertenties van Criteo worden zodoende toegestaan.
Gebruikers kunnen deze advertenties wel blokkeren, maar moeten hiervoor de instellingen aanpassen. Slechts 5 tot 10 procent van de gebruikers verandert echter de standaardinstellingen van de software die ze gebruiken. "Het feit dat het Acceptable Ads initiatief het volgen van gebruikers via de HSTS-beveiligingsmaatregel door Criteo goedkeurde is indicatief voor de privacyproblemen die zich in de kern van het Acceptable Ads-programma bevinden", aldus de EFF. De organisatie roept dan ook om geen advertenties goed te keuren die misbruik van beveiligingsmaatregelen maken om gebruikers te volgen.
Volgens mij is het ook de bedoeling van HSTS data, dat die maanden aanwezig blijft. De echte beveiliging van HSTS komt nml pas vanaf het tweede website bezoek. Tenzij de website in kwestie al in de browser voorgeprogrammeerd is.
Volgens mij werkt deze HSTS methode met elke browser, maar wordt hij nu bij Safari gebruikt omdat de klassieke volgmethodes bij de default instellingen van Safari niet goed werken.
Volgens mij werkt deze HSTS methode met elke browser, maar wordt hij nu bij Safari gebruikt omdat de klassieke volgmethodes bij de default instellingen van Safari niet goed werken.
Niet bij Torbrowser
Torbrowser is een Privacy minded versie van de standaard Firefox ESR distributie.
https://www.torproject.org/
Torbrowser is een Privacy minded versie van de standaard Firefox ESR distributie.
https://www.torproject.org/
Vreemde manier van linken, want op die pagina staat niets over HSTS. Dus mag je ook geen conclusies trekken. Waar jij naar linkt is een stuk over de slager die zijn eigen vlees aanprijst.
Als je diep zoekt op die site vind je wel:
Mooie opmerking maar hoe moet een gemiddelde gebruiker dit weten of achterhalen? Volgens mij is er niemand die een compleet overzicht heeft van alle advertentie bedrijven die er rondwaren. En als we zo'n lijst al hebben; hoeveel van die bedrijven beschikken over een profiel?
Wat mij betreft mag het hele advertentie gebeuren op de schop. De methode is compleet ondoorgrondelijk... (voor de leek gebruiker) precies zoals die advertentie bedrijven dat graag zien want, wat niet weet wat niet deert.
Adblockplus heeft met het Acceptable Ads-programma hun ziel verkocht aan de duivel. Gelukkig zijn er nog zat alternatieven maar het is een kwestie van tijd dat die ook over gekocht worden. Zo blijft het toch een kat-en-muis-spel.
Torbrowser is een Privacy minded versie van de standaard Firefox ESR distributie.
https://www.torproject.org/
Vreemde manier van linken
Het betreft de startpagina van de organisatie waar de techniek vandaan komt.
Je kan als lezer vanaf daar zelf verder.
Mag een site alsjeblieft positief zijn over haar eigen product op haar eigen home pagina?
Wat moeten ze dan, de lezer direct wegjagen door te beginnen met deeplinks en opsommingen van de mitsen en maren??
Het is vrij normaal om bij het begin te beginnen en niet met een deeplink, die je overigens zelf niet eens geeft.
Onnodige suggestieve zwam opmerking dus.
- Waar heb je de informatie vandaan?
- Geen context weglaten omdat je dat beter uitkomt.
- Komt hier vandaan
https://www.torproject.org/projects/torbrowser/design/#identifier-linkability
Meer specifiek
https://www.torproject.org/projects/torbrowser/design/#identifier-linkability
[..]
Identifier Unlinkability Defenses in the Tor Browser
[..]
An extreme (but not impossible) attack to mount is the creation of HSTS supercookies. Since HSTS effectively stores one bit of information per domain name, an adversary in possession of numerous domains can use them to construct cookies based on stored HSTS state.
HPKP provides a mechanism for user tracking across domains as well. It allows abusing the requirement to provide a backup pin and the option to report a pin validation failure. In a tracking scenario every user gets a unique SHA-256 value serving as backup pin. This value is sent back after (deliberate) pin validation failures working in fact as a cookie.
Design Goal: HSTS and HPKP MUST be isolated to the URL bar domain.
Implementation Status: Currently, HSTS and HPKP state is both cleared by New Identity, but we don't defend against the creation and usage of any of these supercookies between New Identity invocations.
Torbrowser beschermt dus Wèl tegen supercookies, met een nog meer aanvullende garantie in de vorm van de mits je je verbinding cq identity vernieuwt (als je al iets anders deed waaruit je identiteit op dat moment kon blijken!).
Dat was de aantekening die ik er niet expliciet bij vermeldde inderdaad en die wat mij betreft best bij de expliciete aanbevelingen van de download pagina mag van Torbrowser.
Vernieuw je identity regelmatig, mogelijk per site bezoek, maar in ieder geval als het kritisch is.
Aan de andere kant, heb je de keuze je security slider op hoog te zetten (minimaliseren van javascripts) en ben je bij standaard gebruik waarbij je geen activiteiten uitvoert die gelinkt zijn aan jouw naam dus wel beschermd want zelfs als er een cookie geplaatst was dan weet men niet wie men volgt gedurende de sessie.
En het anonimiserende karakter van Torbrowser zit hem onder meer in het feit dat ze je ip adres verhult, dus daat is ook al geen werkbare identiteitstracking link.
Torbrowser is een uitmuntende privacy browser, Safari is dat niet.
Maar Safari is daarvoor ook niet ontworpen, daar zit een heel ander gebruikers idee achter net zoals Torbrowser weer minder goed is in zaken waar Safari goed in is.
Afsluitend : Torbrowser is de beste privacybrowser die er ongeveer is op dit moment en als je je houdt aan alle aanbevelingen en de browser slim (=niet dom of onnodig nonchalant) gebruikt een geweldige oplossing die ook criteo te slim af is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.