heise online Logo
Anmelden
Menü Menue
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Magazine
  • c't
  • iX
  • Technology Review
  • c't Fotografie
  • Mac & i
  • Make
  • im Browser lesen und Artikel-Archiv
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige SecurityHub Online-Marketing
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Security-Funktion HSTS als Supercookie

Security-Funktion HSTS als Supercookie

Hintergrund 06.01.2015 13:28 Uhr Ronald Eikenberg

Eine eigentlich sinnvolle Sicherheitsfunktion lässt sich auch für effektives Tracking missbrauchen – über die Grenzen des Inkognito-Modus hinaus. Das Problem ist seit Jahren bekannt, Abhilfe ist derzeit nicht in Sicht. Ob man betroffen ist, zeigt eine Testseite.

Ein Forscher hat eindrucksvoll demonstriert, wie gut sich die Sicherheitsfunktion HTTP Strict Transport Security (HSTS) für Web-Tracking eignet. Websites können über den HTTP-Header HSTS festlegen, dass sich der Browser des Besuchers für einen bestimmten Zeitraum ausschließlich über HTTPS mit dem Server verbindet. Das erschwert Man-in-the-Middle-Angriffe: Ruft der Nutzer etwa die Adresse http://paypal.com auf, steuert der Browser direkt https://paypal.com an, ohne dass ein Angreifer die sonst stattfindende Umleitung auf die verschlüsselte Ausgabe mit Tools wie sslstrip verhindern kann.

Allerdings kann ein Server-Betreiber damit auch hartnäckige Supercookies bauen, die der Nutzer unter Umständen nie wieder los wird. Anders als gewöhnliche Cookies überwindet das HSTS-Tracking sogar den Inkognito-Modus der Browser.

Wie es geht

Der Browser lädt beim ersten Besuch der Demoseite des Forschers Sam Greenhalgh im Hintergrund eine ganze Batterie an URLs von etlichen Subdomains wie etwa 1.example.com, 2.example.com, 3.example.com etc. nach. Der Server antwortet unter anderem stets mit dem HSTS-Header:

Strict-Transport-Security: max-age=31536000
Nachdem die HSTS-Werte gesetzt wurden, ruft der Browser einige URLs der Tracking-Seite über HTTPS auf, die anderen über HTTP. Diese Konstellation ist bei jedem Besucher einzigartig.

Der Wert max-age, über den der Server festlegt, wie lange sich der Browser den HTTPS-Zwang merken soll, variiert allerdings. Entweder ist der Wert 31536000, was der Maximaldauer von einem Jahr entspricht, oder aber 0 – in letzterem Fall vergisst der Browser die Anweisung sofort wieder. Welche Werte der Browser bekommt, ist bei jedem Besucher anders – so ergibt sich eine individuelle Konstellation, aus welcher der Server eine einzigartige ID wie etwa g9xgoq generiert.

Beim nächsten Besuch ruft der Browser gemäß der zuvor gesetzten HSTS-Werte einige der URLs über HTTPS auf (max-age=31536000), die anderen über HTTP (max-age=0). Wird eine URL verschlüsselt abgerufen, liefert der Server ein true zurück, ansonsten ein false. Diese Werte wertet die Demoseite über JavaScript aus und kann so die individuelle ID g9xgoq rekonstruieren.

Inkognito-Modus ausgehebelt

Die Testseite liest im Inkognito-Modus (rechts) die Tracking-ID der Hauptsitzung (links) aus.

Normalerweise ignoriert der Browser die bereits gespeicherten Cookies, wenn man ein privates Browserfenster öffnet (auch als Inkognito-Modus bekannt). Schließt man das Fenster, werden die während der privaten Session gesammelten Cookies verworfen. Das HSTS-Tracking überwindet diese Barriere: Im privaten Modus kann ein Server die während einer normalen Browsersitzung gesetzte Tracking-ID auslesen. Um die ID zu löschen, genügt es zumeist, den Verlauf des Browsers zurückzusetzen.

Unter iOS scheint es derzeit allerdings keinen Weg zu geben, eine über HSTS gesetzte Tracking-ID wieder los zu werden. Die Situation ist dort sogar noch brisanter: Wer seine Apple-Geräte über die iCloud synchronisiert, gleicht damit auch die Tracking-ID geräteübergreifend ab. Nutzer des Internet Explorer sind dieses Mal fein raus, da der Microsoft-Browser diese Sicherheitsfunktion erst ab der kommenden Version 12 unterstützen.

Problem erkannt, aber nicht gebannt

Ganz neu ist das Tracking über HSTS nicht, es wurde sogar bereits in der Spezifikation erwähnt:

14.9. Creative Manipulation of HSTS Policy Store
Since an HSTS Host may select its own host name and subdomains thereof, and this information is cached in the HSTS Policy store of conforming UAs, it is possible for those who control one or more HSTS Hosts to encode information into domain names they control and cause such UAs to cache this information as a matter of course in the process of noting the HSTS Host. This information can be retrieved by other hosts through cleverly constructed and loaded web resources, causing the UA to send queries to (variations of) the encoded domain names. Such queries can reveal whether the UA had previously visited the original HSTS Host (and subdomains). Such a technique could potentially be abused as yet another form of "web tracking" [WebTracking].

Wie das Problem zu lösen ist, geht aus der Spezifikation allerdings nicht hervor. Für das Chromium-Projekt, von dem Google Chrome abstammt, wurde vor drei Jahren ein Patch eingereicht, der dafür sorgen soll, dass eine Inkognito-Session nicht den HSTS-Status der normalen Sitzung erbt. Dieser hat das Datenleck jedoch offensichtlich nicht ausreichend abgedichtet. Der Bugtracker des Tor-Projekts führt das das HSTS-Tracking bereits seit zwei Jahren. Ob das Verfahren bereits von den Tracking-Firmen einsetzt wird, ist derzeit nicht bekannt. (rei)

Kommentare lesen (10 Beiträge)

Mehr zum Thema

  • Cookies
  • https

Forum bei heise online: Verschlüsselung

Teile diesen Beitrag

https://heise.de/-2511258 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Genua GenuGate Firewall

Saltstack

Akute Angriffswelle auf Fritzbox-Nutzer, jetzt handeln!

Update

Cisco (div. Produkte)

Home-Office: von der Notlösung zum Dauerbetrieb

heise Security Prevent

Erfahren Sie im neuen Webinar von heise Security am 25. März, wie Sie die Anforderungen an Security und Datenschutz für Ihren IT-Betrieb im Home-Office erfüllen können. Sichern Sie sich noch 1 von 50 vergünstigten Tickets!

Anzeige
Anzeige
  • BWI: Die wichtigsten (IT-)Trends 2021
  • Sicher im Homeoffice: Cloud-Daten verschlüsseln!
  • Expertendebatte zu Big Data und Machine Learning
  • Sie sind IT-Experte? Finden Sie Ihren Traumjob auf heise jobs!
  • Zukunftssichere IT für KMU
  • SMART Freelancing für Ihren Projekterfolg
  • Singapur - die smarteste Stadt der Welt
  • Wie der IT-Support der Zukunft aussieht
  • Themenspecial: Moderne IT-Infrastruktur
  • Machine Learning: Starthilfe für Anfänger
Artikel

iOS: Certificate Pinning per Konfiguration

App-Entwickler können die für TLS-Verbindungen erlaubten Schlüssel seit iOS 14 per Konfiguration einschränken.

8 Kommentare

Auf Tätersuche: Herausforderungen bei der Analyse von Cyber-Angriffen

Das Bedürfnis bei Cyber-Angriffen Täter zu benennen wächst. Doch die verantwortlichen Gruppen spezialisieren sich immer mehr und kooperieren bei Bedarf.

16 Kommentare mit Video

Jetzt patchen! Sicherheitsupdate für SonicWall SMA 100 ist da

Derzeit haben es Angreifer auf das Fernzugriffsystem SMA 100 von SonicWall abgesehen. Nun gibt es Patches.

1 Kommentare

Neueste Forenbeiträge

  1. Re: Einfache Textdatei dauerhaft auf DI Stick kopieren und Shortcut auf Desktop?
    Wenn die im Folgenden beschriebene alte Desi-Technik geeignet ist, einem WLAN-Passwort zum Überleben des Reboots zu verhelfen, sollte dies…

    Forum:  Desinfect

    Kybfels hat keinen Avatar
    von Kybfels; vor 7 Stunden
  2. 16 GB RAM nicht genug? 2GB genutzt, nur 200 MB frei
    Heute musste ich feststellen, dass ESET bei Dateien warnte, dass entweder Festplattenplatz oder Arbeitsspeicher nicht ausreichen (schon für sich…

    Forum:  Desinfect

    RoWieb hat keinen Avatar
    von RoWieb; vor 14 Stunden
  3. Warnungen werden nicht in den Log übernommen (mindestens F-Secure)
    Ich durfte neulich feststellen, dass während des Scans (aktiver Mailbox-Scan) eine .ost als "zu groß" gemeldet wurde, hinterher aber nicht im…

    Forum:  Desinfect

    RoWieb hat keinen Avatar
    von RoWieb; vor 14 Stunden
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Impressum
  • Kontakt
  • Mediadaten
  • 1411407
  • Content Management by InterRed
  • Copyright © 2021 Heise Medien