Browser 'Privacy Modes' ikke så privat efter alle

Alle de store webbrowsere har en privatlivsmodus, der skal dække en brugers spor, efter at han eller hun har afsluttet en internet session, men en trio af forskere har fundet, at disse tilstande ikke renser alle spor af en netværkssurfers aktiviteter.

Mozilla Firefox har f.eks. Noget, der hedder en "brugerhåndteringsprotokol", der opretter webadresser, der hænger sammen, selv efter at en bruger forlader privatlivstilstanden.

Artwork: Peter og Maria HoeySecure-certifikater kan også bruges til at modvirke formålet af privatlivets fred. Firefox, Internet Explorer og Safari understøtter alle brugen af ​​SSL-klientcertifikater. Et websted via JavaScript kan instruere en browser til at generere et SSL-klient-offentligt / privat nøglepar. Det nøglepar beholdes af browseren, selv efter at privatlivssessionen er afsluttet. Hvis et websted bruger et selvsigneret certifikat, gemmer IE og Safari det lokalt i et Microsoft-certifikatvalv, og det forbliver der, når privatlivssessionen slutter. Så alle, der ved, hvor de skal kigge efter, kan finde den og få et glimt af brugerens internetrejser.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Internet Explorer blæser også en brugers omslag i privatlivets fred tilstand, når den initierer SMB-anmodninger med en webserver. "Selvom brugeren står bag en proxy, rydder browsertilstanden og bruger InPrivate, SMB-forbindelser identificerer brugeren til fjernwebstedet," forskerne - Gaurav Aggarwal og Dan Boneh fra Stanford University og Colin Jackson fra Carnegie Mellon University - skrev i et papir planlagt til at blive præsenteret i næste uge på Usenix Security Symposium i Washington, DC

Imidlertid fandt trioen, at SMB-fejlen kan være ubetydelig, fordi mange internetudbydere filtrerer SMB-port 445.

De har også rejst et rødt flag om muligheden for browser-add-ons for at undergrave privatlivstilstande. "Browser-tilføjelser (udvidelser og plug-ins) udgør en privatlivsrisiko for privat browsing, fordi de kan fortsætte med at angive disken om en brugers adfærd i privat tilstand," forskerne skrev.

"Udviklerne af disse tilføjelser kan ikke have overvejet privat browsing mode, mens designen af ​​deres software og deres kildekode ikke er underlagt den samme nøje undersøgelse, som browsere udsættes for, "tilføjede de.

Forskerne opdagede også en måde for webmastere at afgøre, om en bruger var adgang til deres websted i privatlivstilstand. De erkendte imidlertid, at den teknik, de brugte udnyttede et angreb, der allerede var blevet rettet i Safari, snart skulle lukkes i Firefox, og forventes at blive lukket snart i IE og Chrome.

Bundlinjen fra Trioens forskning: Gør ikke noget i privatlivstilstand, som du ikke ville gøre med din chef, der kigger over din skulder.