it-swarm.dev

Una pagina web può leggere i cookie di un'altra pagina?

Stavo ascoltando Pandora mentre eseguivo l'accesso qui e lo spot successivo riguardava InfoSec. Ciò mi ha chiesto se fosse una coincidenza (probabilmente) o se sapessero in qualche modo. Per farla breve, mi chiedevo se una pagina web potesse accedere ai cookie che non aveva inserito (ottenendo così una cronologia di navigazione piuttosto accurata e informazioni sull'utente). Mi sembra che questo dovrebbe essere (e probabilmente lo è) contro, ma se lo è, come? Riesco a leggere i cookie sul mio computer e almeno a vedere da dove provengono, quindi non sembra che siano crittografati ...

32
KnightOfNi

Sì, questo è difeso dall'uso della stessa politica sull'origine , che generalmente impedisce a un sito di leggere i cookie.

Quando vedi comportamenti in cui le pubblicità sembrano sapere dove sei stato, è probabilmente dovuto ai cookie di tracciamento degli annunci di terze parti.

Quindi, come esempio semplificato se vai al sito A che utilizza una rete pubblicitaria, tale rete pubblicitaria può registrare che eri su quel sito inserendo un cookie di tracciamento sul tuo PC.

Quindi quando vai al sito B che utilizza la stessa rete pubblicitaria, la rete pubblicitaria legge il cookie che è stato impostato quando eri sul sito A (cosa che può fare perché sta caricando il contenuto dai suoi domini in entrambi i casi, quindi non lo fa rompere la stessa origine) e può quindi offrirti annunci in base alle tue abitudini di navigazione.

41
Rory McCune

Un browser progettato correttamente non consentirà a un sito Web di accedere ai cookie di un altro sito Web, poiché ciò violerebbe la politica tra domini e costituirebbe un grave problema di sicurezza.

I siti Web non correlati possono implementare script che inviano informazioni a una singola rete di tracciamento degli annunci, che possono quindi offrire annunci pubblicitari personalizzati a questi siti Web partecipanti in base all'attività segnalata.

L'attivazione delle opzioni "Non tracciare" non è affidabile al 100% in quanto "Non tracciare" può funzionare solo se onorato attivamente dal sito Web che riceve la richiesta "Non tracciare". I cookie possono essere disabilitati o bloccati, ma esistono ancora altri semplici modi in cui le reti pubblicitarie possono tracciare la tua attività:

  • Le pagine su siti non correlati possono visualizzare un file di immagine che risiede sul server della rete pubblicitaria. Quando il browser richiede il file di immagine, invierà l'indirizzo IP e l'URL di riferimento (la pagina in cui viene visualizzata l'immagine) al server della rete pubblicitaria. L'URL dell'immagine potrebbe essere migliorato con parametri di informazione (generati dal server di pagine). Fortunatamente, un Ad Blocker potrebbe bloccare una simile immagine.
  • Quando il browser richiede una pagina Web, il server delle pagine potrebbe comunicare direttamente con la rete pubblicitaria e condividere informazioni come l'indirizzo IP e il contenuto richiesto. Non è possibile bloccare questa forma di tracciamento, ma può essere potenzialmente mitigata tramite l'uso di una VPN.

Potrebbe esserci un canale laterale di temporizzazione qui. Supponiamo che se un utente ha effettuato l'accesso ottenga un sacco di informazioni, ma se si disconnette ottiene un piccolo modulo di accesso. Il throughput del canale Internet è limitato, quindi i tempi in cui l'utente scarica la stessa pagina possono differire a seconda del contenuto. JS consente di misurare il tempo necessario al caricamento degli elementi in modo che sia possibile determinare se un utente ha effettuato l'accesso in un sito Web non collaborativo straniero. Non ho testato questa idea e non ho nemmeno cercato su google, ma so che l'attacco contro la SSH raccontato l'anno scorso in una conferenza utilizza il canale laterale di timing.

1
KOLANICH

Hai scritto:

Mi chiedevo se una pagina web potesse accedere ai cookie che non aveva inserito (ottenendo così una cronologia di navigazione piuttosto accurata e informazioni sull'utente). Mi sembra che questo dovrebbe essere (e probabilmente è) difeso, ma se lo è, come? Riesco a leggere i cookie sul mio computer e almeno a vedere da dove provengono, quindi non sembra che siano crittografati ...

Hai ragione, sì, puoi leggere il contenuto dei cookie, perché è il tuo computer. Ciò non significa che il browser consentirà a qualsiasi sito Web di leggerli. Quindi, quelle sono due cose diverse. Potresti anche avere alcuni file personali sul tuo computer che puoi leggere ma un sito Web non può.

Hai una domanda interessante Fino ad ora, ho supposto che ogni pagina web avesse i suoi cookie. Ma questo risulta essere falso. La verità è che ogni dominio ha i suoi cookie. Almeno è così che sembra funzionare Firefox. Pertanto, se hai tre pagine sul tuo sito Web, possono accedere ai reciproci cookie.

Non è possibile visualizzare accuratamente la cronologia di navigazione di una persona dai cookie. I cookie di solito memorizzano il dominio, la data di scadenza, le impostazioni, i contatori e tutto ciò che l'utente può aver inserito in un modulo. Quindi, queste sono le cose che puoi scoprire da un cookie. Il caso peggiore sarebbe quello di dire che inserisci il numero della tua carta di credito su una pagina. JavaScript salva il numero in un cookie (CARDNO = 1234567890123456) e ti trasferisce in un'altra pagina sullo stesso dominio. Quindi quella pagina legge il numero e lo verifica e ti invia alla terza pagina, che quindi invia i dati al server. Sembra pazzo, ma è POSSIBILE. Guardando i cookie, non saprai che l'utente ha visitato tutte e tre le pagine. Tutto quello che sai è ciò che è salvato nel cookie, la data di scadenza e l'origine. In questo caso, se il numero della carta di credito viene salvato in un cookie, questo è ciò che è contenuto nel cookie. Potrebbe essere crittografato o non crittografato, sì. Le pagine Web di altri domini non dovrebbero essere in grado di leggere i cookie perché, come puoi vedere, sarebbe un grosso problema. Ora, poiché sei il proprietario del tuo computer, puoi accedere a qualsiasi cosa sul tuo computer, in modo da poter vedere TUTTI i cookie salvati sul tuo computer, se lo desideri. E questo non è un problema di sicurezza, purché tu sia l'unica persona che utilizza il tuo computer. Se il tuo computer viene rubato o se condividi un computer con qualcuno, puoi comunque leggere documenti, cookie e cose di un'altra persona se hai un account amministratore.

I cookie forniscono circa 5 KB di spazio per ogni dominio per salvare i dati. Potrebbe essere un po 'più o meno. Se un sito Web deve salvare molti più dati, allora c'è una nuova cosa chiamata localStorage. Funziona allo stesso modo dei cookie, ma consente a un sito Web di salvare megabyte di dati anziché solo un paio di kilobyte. Ancora una volta, come per i cookie, i valori in localStorage sono condivisi tra le pagine Web all'interno dello stesso dominio. Quindi, se una pagina imposta un valore, un'altra pagina può leggere quel valore all'interno del dominio SAME.

Vedi anche: https://html.spec.whatwg.org/multipage/webstorage.html#dom-localstorage

0
Zsolt