Existuje veľa stinných webových stránok na internete, ktoré ukradnú vaše údaje a identitu a predávajú ich obchodníkom. Tieto webové stránky používajú rozšírenia prehliadača a únikové prihlásenia na tajné ukradnutie vašich informácií. Sú väčšinou neviditeľné a je veľmi ťažké ich sledovať so základnými nástrojmi. toto Rozšírenie prehliadača Inria a Nástroj na skúšanie prieniku a úniku vám pomáha ľahko sledovať, kto vás pozorne sleduje iba kliknutím na tlačidlo.
Rozšírenie prehliadača a Nástroj na experiment s netesnosťou pri prihlásení
Ako funguje detekčný proces
1] Presmerovanie URL presmerovania
Táto časť procesu zahŕňa využitie webových stránok, na ktoré ste sa už prihlásili. Keď sa pokúsite získať prístup k zabezpečenému zdroju webových stránok, webová lokalita vás presmeruje na prihlasovaciu obrazovku, keď ste sa neprihlásili. Je to preto, že váš webový prehliadač spomína vašu webovú adresu, aby vám pomohol spravovať budúce interakcie. Toto je miesto, kde Inria prináša trik: zmení túto konkrétnu adresu URL, takže po prihlásení pristaneš na obrázok.
Technicky povedané, ak je to
tag je vložený a nasmerovaný na prihlasovaciu stránku s zmeneným presmerovaním URL, môžu sa stať dve veci. Ak nie ste prihlásený, tento obrázok sa nedá načítať. Ak ste však prihlásený, obraz sa správne načíta, čo sa dá ľahko zistiť.
2] Zneužívanie narušenia obsahu-bezpečnostných pravidiel na detekciu
Content-Security-Policy je bezpečnostná funkcia určená na obmedzenie toho, čo môže prehliadač načítať na webových stránkach. Tento mechanizmus môže Inria používať na detekciu prihlásenia, ak existujú presmerovania medzi subdoménami na cieľovej lokalite v závislosti od toho, či ste prihlásený alebo nie. Podobne aj
tag môže byť vložený a nasmerovaný na konkrétnu subdoménu na cieľovej webovej stránke, čo by sa dalo zistiť, ak sa stránka načíta alebo nie.
Prevencia útokov prehliadača
Zatiaľ čo nie je veľa čo robiť proti týmto neviditeľným útokom, je stále vhodné používať prehliadač Firefox väčšinou preto, že hoci je možné ho využiť, bolo veľmi málo výskytov prehliadačov Firefox, ktoré boli napadnutí týmito virtuálnymi zlodejmi. Na druhej strane stále existujú účinné riešenia proti detekcii webového prihlásenia, vrátane zablokovania súborov cookie tretej strany vo vašom prehliadači alebo pomocou rozšírení, ako je napríklad Privacy Badger, ktoré vám pomôžu vykonať túto úlohu.
Otestujte svoj prehliadač tu na adrese extensions.inrialpes.fr. Test podporuje iba prehliadače Chrome, Firefox a Opera.
