Browser 'Privacy-modi' niet zo privé na alle

Alle grote webbrowsers hebben een privacymodus die geacht wordt de sporen van een gebruiker te dekken nadat hij of zij een internetsessie heeft beëindigd, maar een drietal onderzoekers hebben vastgesteld dat die modi niet alle sporen van de activiteiten van een surfer kunnen wissen..

Mozilla Firefox heeft bijvoorbeeld een "aangepast handler-protocol" dat URL's maakt die rondhangen, zelfs nadat een gebruiker de privacymodus verlaat.

Artwork: Peter en Maria HoeySecure-certificaten kunnen ook worden gebruikt om het doel te verijdelen van privacy-modi. Firefox, Internet Explorer en Safari ondersteunen allemaal het gebruik van SSL-clientcertificaten. Een website, via JavaScript, kan een browser instrueren om een ​​publiek / privaat sleutelpaar van een SSL-client te genereren. Dat sleutelpaar wordt bewaard door de browser, zelfs nadat de privacysessie is beëindigd. Als een site bovendien een zelfondertekend certificaat gebruikt, zullen IE en Safari het lokaal opslaan in een Microsoft-certificaatkluis en het blijft daar wanneer de privacy-sessie eindigt. Dus wie weet waar hij moet zoeken, kan het vinden en een glimp opvangen van de internetreizen van een gebruiker.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Internet Explorer blaast ook de privacy van een gebruiker in privacy modus wanneer SMB-aanvragen met een webserver worden gestart. "Zelfs als de gebruiker achter een proxy zit, de browserstatus wist en InPrivate gebruikt, identificeren SMB-verbindingen de gebruiker van de externe site," de onderzoekers - Gaurav Aggarwal en Dan Boneh, van Stanford University, en Colin Jackson, van Carnegie Mellon University - schreef in een paper gepland voor volgende week op het Usenix Security Symposium in Washington, DC

Het trio ontdekte echter dat de SMB-fout te verwaarlozen kan zijn omdat veel ISP's SMB-poort 445 filteren.

Ze verhoogde ook een rode vlag over het potentieel voor browser-add-ons om privacymodi te ondermijnen. "Browser add-ons (uitbreidingen en invoegtoepassingen) vormen een privacyrisico voor privé browsen omdat ze de status van schijf naar schijf kunnen handhaven over het gedrag van een gebruiker in privémodus", schreven de onderzoekers.

"De ontwikkelaars van deze add-ons hebben tijdens het ontwerpen van hun software mogelijk niet overwogen om de privé-browsingmodus te gebruiken en hun broncode is niet onderworpen aan hetzelfde rigoureuze onderzoek dat browsers ondergaan, "voegde ze eraan toe.

De onderzoekers ontdekten ook een manier voor webmasters om te bepalen of een gebruiker was toegang tot hun site in de privacymodus. Ze erkenden echter dat de door hen gebruikte techniek een aanval uitbrak die al in Safari was opgelost, en dat deze binnenkort in Firefox zou worden afgesloten en naar verwachting binnenkort in IE en Chrome zou worden gesloten.

De bottom line van het onderzoek van het trio: doe niets in de privacymodus die je niet zou doen als je baas over je schouder zou kijken.