Abhörschutz als Supercookie

Der Forscher Sam Greenhalgh demonstriert mit seiner Testseite eindrucksvoll, wie zuverlässig Tracking-Firmen das Nutzerverhalten überwachen können, indem sie die Schutzfunktion HTTP Strict Transport Security (HSTS) missbrauchen. Über HSTS kann ein Server den Browser anweisen, sich über einen bestimmten Zeitraum ausschließlich verschlüsselt über HTTPS zu verbinden. Das macht es Datenlauschern schwer: Normalerweise können sie beispielsweise die Umleitung von http://paypal.com zu https://paypal.com verhindern und den eigentlich verschlüsselten Datenverkehr so im Klartext mitlesen. Hatte der Browser jedoch zuvor mit Paypal Kontakt, wird er dank HSTS trotzdem die verschlüsselte Seite aufrufen – selbst dann, wenn der Nutzer die HTTP-Version angesteuert hat.

HSTS-Tracking

Da sich der Browser die HSTS-Werte merkt – und anders als Cookies nicht besonders schützt – eignen sie sich allerdings auch für effektives Tracking. Arbeitet eine Website mit mehreren Subdomains, kann sie dem Nutzer auch mehrere HSTS-Werte unterschieben. So kann sich ein individueller Fingerabdruck ergeben, den die Website bei jedem Besuch auslesen kann. Das würde sogar auf fremden Sites funktionieren, wenn dort ein entsprechendes Tracking-Skript eingebettet wurde.

Im Gegensatz zum herkömmlichen Cookie überlebt das HSTS-Tracking den Wechsel in den Inkognito-Modus des Browser: In der privaten Browser-Sitzung kann die Site den Fingerabdruck aus der Hauptsitzung problemlos auslesen. iOS-Nutzer trifft es besonders hart: Anscheinend gibt es bei der mobilen Safari-Ausgabe keinen Weg, den Fingerabdruck wieder los zu werden. Wer seine Geräte über die iCloud synchronisiert, bringt damit auch die HSTS-Einstellungen auf den gleichen Stand, wodurch man sogar geräteübergreifend getrackt werden kann.

Weitere Hintergründe hierzu finden Sie bei heise Security:

• Security-Funktion HSTS als Supercookie
  

(rei)