Το Mozilla Speculative Connect API είναι ένα νέο χαρακτηριστικό που προστέθηκε πριν από πολλές πολλές εκδόσεις του Firefox, και η αποστολή του είναι να δημιουργεί εκ των προτέρων στο πρόγραμμα περιήγησης HTTP συνδέσεις, που πιθανολογεί ότι ο χρήστης θα μεταβεί.
Βασικά, το API αυτό, έρχεται στο προσκήνιο κάθε φορά που ένας χρήστης περνάει το ποντίκι πάνω από μια σύνδεση (link). Τότε το πρόγραμμα περιήγησης ερμηνεύοντας αυτήν την ενέργεια ως πρόθεση για πλοήγηση σε αυτό αρχίζει να εκδίδει αιτήσεις HTTP σε αυτή την ιστοσελίδα, και προβαίνει εκ των προτέρων στην δημιουργία TCP και SSL χειραψιών (handshakes), μόνο και μόνο για την περίπτωση που ο χρήστης κάνει κλικ στο συγκεκριμένο link για να μεταβεί στη συγκεκριμένη σελίδα.
Όπως μπορείτε να φανταστείτε, αυτό το API υπάρχει για να βελτιώσει τους χρόνους φόρτωσης της σελίδας. Και τα καταφέρνει μια χαρά σε αρκετές περιπτώσεις.
Αυτό που δεν ξέρετε είναι ότι αυτό το είδος της συμπεριφοράς μπορεί να χρησιμοποιηθεί από κακόβουλους παράγοντες (συνήθως ιστοσελίδες) για να παρακολουθήσουν τους χρήστες, ακόμη και αν αυτοί τελικά δεν θα περιηγηθούν στα sites τους.
Όπως επισημαίνει ο Yuri Khan στο Mozilla bug tracker, η τρέχουσα έκδοση του Speculative Connect API, το οποίο δεν έχει κάποιο GUI που να επιτρέπει στους χρήστες να απενεργοποιήσουν αυτή τη λειτουργία, προσθέτει μια τρύπα στην ασπίδα προστασίας προσωπικών δεδομένων του Firefox.
Ένας επιτιθέμενος που θέλει να ελέγξει μια λίστα με διευθύνσεις ηλεκτρονικού ταχυδρομείου θα μπορούσε να πάρει εύκολα μια λίστα με τις IPv6 διευθύνσεις, να τις συνδέσει με ένα email, να δημιουργήσει μια βασική HTML σελίδα και να το φιλοξενήσει σε αυτή τη διεύθυνση.
Η αποστολή ενός μηνύματος σε αυτό το email, ειδικά κατασκευασμένου έτσι ώστε να περιέχει ένα μεγάλο σύνδεσμο που να γεμίζει όσο περισσότερο χώρο μπορεί στο server του ηλεκτρονικού ταχυδρομείου, θα βοηθούσε τον επιτιθέμενο χάρη στο Speculative Connect API, να ελέγχει ποια διεύθυνση ηλεκτρονικού ταχυδρομείου είναι ακόμα σε χρήση.
Επειδή απλά ο Firefox θα ξεκινούσε μια σύνδεση με το διακομιστή, ο εισβολέας θα μπορούσε εύκολα να επαληθεύσει εάν το ηλεκτρονικό ταχυδρομείο είναι ακόμα σε χρήση, και επίσης να μάθει την IP του χρήστη, χωρίς ποτέ το θύμα να επισκεφτεί την ιστοσελίδα του.
Προφανώς, δεν μπορείτε να εκτελέσετε σοβαρές επιθέσεις σε έναν χρήστη που απλά περνάει το ποντίκι του πάνω από μια σύνδεση, αλλά η λειτουργία Speculative Connect API θέτει περισσότερο ζήτημα προστασίας της ιδιωτικής ζωής και όχι μια ευπάθεια ασφαλείας.
Δεδομένου ότι αυτό το χαρακτηριστικό είναι ενεργοποιημένο από προεπιλογή για όλους τους χρήστες, έως ότου η ομάδα του Firefox αποφασίσει να βάλει ένα κουτάκι κάπου στις ρυθμίσεις του προγράμματος περιήγησης το οποίο θα επιτρέπει στο χρήστη να αποφασίσει αν θα χρησιμοποιήσει αυτήν τη δυνατότητα ή όχι, υπάρχει μόνο ένας τρόπος για να απενεργοποιήσετε αυτή την αθόρυβη προ-συνδέση . Απλά ακολουθήστε τα παρακάτω βήματα.
Βήμα 1: Σε μία νέα καρτέλα γράψτε “about:config” και πατήστε το πλήκτρο “Θα προσέχω” στην ερώτηση που θα σας κάνει το Firefox
Βήμα 2: Πληκτρολογήστε στο πλαίσιο αναζήτησης “network.http.speculative-parallel-limit”
Βήμα 3: Κάντε διπλό κλικ στη ρύθμιση και πληκτρολογήστε “0” στο αναδυόμενο παράθυρο που θα εμφανιστεί.
Μόλις απενεργοποιήσατε το Speculative Connect API.
