Ένας σύμβουλος ασφαλείας από το Ηνωμένο Βασίλειο απέδειξε πως ένα χαρακτηριστικό του ασφαλούς Web πρωτοκόλλου HTTPS μπορεί να μετατραπεί σε ένα χαρακτηριστικό παρακολούθησης σε ορισμένα προγράμματα περιήγησης.
Το HTTP Strict Transport Security (HSTS), που περιγράφεται στο RFC 6797, είναι ένας μηχανισμός που βοηθά τις ιστοσελίδες να ανακατευθύνουν τους χρήστες από την ανασφαλή έκδοση του HTTP στη κρυπτογραφημένη έκδοση του HTTPS. Εάν ένας χρήστης τοποθετεί τη διεύθυνση http://www.google.com στον browser του, το HSTS θα τον στείλει αυτόματα στο https://www.google.com.
Το πρόβλημα είναι, ότι κάποιος σκέφτηκε ότι θα μπορούσε να είναι ενοχλητικό εάν το User Agent – δηλαδή, το πρόγραμμα περιήγησής σας – έπρεπε να περνάει από μια ανακατεύθυνση κάθε φορά που ένας χρήστης αντί για https γράφει διευθύνσεις με http. Έτσι, οι συγγραφείς του HSTS δημιούργησε έναν μηχανισμό για να θυμούνται οι browsers την πολιτική του HSTS των ιστοσελίδων που έχετε επισκεφθεί.
Αυτό ακριβώς είναι που ο Sam Greenhalgh χαρακτηρίζει σαν σούπερ-μπισκότο ή super-cookie. Η άποψή του είναι ότι ένα HSTS “pin” έχει οριστεί για κάθε ανακατεύθυνση HTTPS στην τοποθεσία που χρησιμοποιείτε, είναι μοναδική για το χρήστη και το χώρο, και είναι αναγνώσιμη από τις ρυθμίσεις του browser σας από οποιαδήποτε τοποθεσία.
“Μόλις αποθηκευτεί ο αριθμός θα μπορούσε να διαβαστεί και από άλλες ιστοσελίδες στο μέλλον. Για να διαβαστεί ο αριθμός απαιτούνται μόνο δοκιμές για το εάν οι αιτήσεις για τις ίδιες διευθύνσεις web ανακατεύθυνουν ή όχι,” αναφέρει ο Greenhalgh.
Ο Greenhalgh σημειώνει ότι ορισμένα προγράμματα περιήγησης επιτρέπουν στα HSTS flags να καθαρίζονται, και έτσι στο Chrome, το Firefox και τον Opera το ζήτημα μετριάζεται κάπως (ο IE δεν υποστηρίζει HSTS).
Για τον Safari της Apple δεν φαίνεται να υπάρχει κάποιος τρόπος διαγραφής των HSTS flags από το χρήστη. Τα HSTS flags συνεχίζουν να συγχρονίζονται με την υπηρεσία iCloud και θα αποκατασταθούν άμεσα στη συσκευή που έχει περαστεί νέο firmware. “Στην περίπτωση αυτή η συσκευή μπορεί αποτελεσματικά να είναι «επώνυμη», με ανεξίτηλη αξία παρακολούθησης που δεν έχετε κανέναν τρόπο να διαγράψετε. “
