Alle moderne browsers beschikken tegenwoordig over private browsing, een functie die ervoor moet zorgen dat het surfgedrag niet op de computer wordt opgeslagen. De informatie die tijdens private browsing wordt benaderd kan echter door een gemotiveerde aanvaller toch uit het geheugen van de computer worden gehaald. Aanleiding voor onderzoekers van MIT en Harvard om een nieuw systeem te ontwikkelen genaamd Veil dat private browsing meer privé moet maken.

Browsers horen na het sluiten van een private browsingsessie alle opgeslagen data te verwijderen. Modern geheugenmanagement is echter complex en kan ervoor zorgen dat er toch ergens in het geheugen data achterblijft. Veil probeert dit probleem te tackelen door alle data die de browser in het geheugen laadt te versleutelen totdat het op het beeldscherm wordt weergegeven.

Het gebruik van Veil

Om van Veil gebruik te maken gaat de Veil-gebruiker naar de Veil-website en voert daar de url van een website in. Een speciale "blinding-server" verstuurt vervolgens een versie van de opgevraagde pagina in het Veil-formaat. De Veil-pagina lijkt op een normale webpagina, maar bevat code die een decryptie-algoritme uitvoert. De data op de pagina is onleesbaar totdat het door het algoritme is ontsleuteld. Zodra de data is ontsleuteld moet het in het geheugen van de computer worden geladen om op het beeldscherm te worden weergegeven. Deze tijdelijk opgeslagen data zou veel lastiger te traceren moeten zijn als de browsingsessie voorbij is.

Om aanvallers toch geen kans te geven neemt Veil een aanvullende beveiligingsmaatregel. De blinding-server voegt aan elke geladen pagina zinloze code toe. Deze code heeft geen effect op de manier hoe de pagina ervoor de gebruiker uit ziet, maar verandert wel het onderliggende bronbestand. Elke pagina die door een blinding-server wordt geladen, ook al is het dezelfde pagina, ziet er anders uit. Een aanvaller die na het sluiten van een Veil-sessie een deel van de ontsleutelde code weet te bemachtigen kan daardoor waarschijnlijk niet zeggen welke website de gebruiker heeft bezocht.

Wanneer deze maatregelen niet genoeg zijn biedt Veil ook de optie om de blinding-server een afbeelding van de opgevraagde pagina te laten maken. In dit geval opent de blinding-server de opgevraagde pagina, maakt hier een screenshot van en stuurt dat naar de gebruiker. Dit voorkomt dat er uitvoerbare code op het systeem van de gebruiker belandt. Als de gebruiker vervolgens ergens op de afbeelding klikt registreert de browser dit en stuurt het nieuwe verzoek naar de blinding-server, die vervolgens een nieuwe ingezoomde afbeelding laadt en naar de gebruiker terugstuurt.

Om het systeem te kunnen gebruiken moeten websites wel een Veil-versie van hun website maken, maar de onderzoekers hebben hiervoor een compiler ontwikkeld die de conversie automatisch uitvoert. Een grotere uitdaging is het hosten van de blinding-servers, dat door vrijwilligers kan worden gedaan, zoals bij het Tor-netwerk het geval is, of door bedrijven die bijvoorbeeld hun bezoekers meer privacy willen bieden. Voor de implementatie van Veil zijn er geen aanpassingen aan de browser vereist.