sábado, agosto 24, 2013

CookieLess: Tracking de usuarios usando etiquetas ETag

El proyecto se llama CookieLess y explica un método más para conseguir hacer un tracking de usuarios y tener una huella digital de la conexión de un usuario. Una técnica más que desconocía y que se suma a la larga lista de técnicas para hacer WebBrowsing fingerprinting y tracking de usuarios a las ya conocidas, y que cada día se van haciendo más difíciles de evadir.

En este caso es algo tan sencillo como volver a utilizar la caché de los navegadores para saber quién es quién, usando las etiquetas ETag. La idea es tan sencilla como fácil de implementar. Cuando un usuario navega por una página web donde hay una imagen estática, esta es entregada desde el servidor al navegador junto con una etiqueta ETag que contiene un checksum del fichero.

Figura 1: Funcionamiento de ETags

La segunda vez que el navegador visita la página, cuando tiene que descargar el mismo fichero, envía el checksum del que tiene ya descargado en la caché, enviando el ETag para que el servidor no le envíe otra vez el fichero si este no ha cambiado.

El truco para hacer tracking de usuarios es entregar un ETag distinto a cada nuevo visitante, y comprobar el valor del ETag del fichero en cada petición al sitio. Insultantemente sencillo.

La solución para evitar esto, a priori, es tan fácil como no utilizar navegación con caché, algo que desde que estuvimos trabajando con las JavaScript Botnets y los ataques dirigidos con los payloads cacheados, ni se me ocurre utilizar, y todas mis sesiones son en modo Private o Incógnito.

Figura 2: Configuración de Secret Agents para reescribir ETags

Para evitar este tracking en Mozilla Firefox también hay un add-on que se llama Secret Agent que re-escribe los TTags. ¿Qué difícil se hace navegar de forma privada, verdad?

Saludos Malignos!

4 comentarios:

  1. Pongo la balanza a la hora de la privacidad y algunas veces pienso (no debería, pero...) para qué poner tanto empeño, si luego nos llega Edward Snowden y nos muestra que da igual todo lo que hagamos, que nos tienen "cogidos" por los eggs.

    Maligno... ¡sin la caché navegar es una locura!. Yo lo estuve haciendo hace unos meses, pero duré poco... la lentitud me hacía perder demasiado tiempo.

    ¡Saludos!

    David M.

    ResponderEliminar
  2. jejejejeje cierto. Yo leí el artículo y pense, bueno si no es esto, sera otra cosa, al final, el hecho es que si navegas por la red, estas sometido a "vigilancia" de los servidores, ISP, y otros... pero al fin y al cabo, tb lo estas cuando pagas con la targeta de credito, peages, etc... no?

    Q.

    P.D. Maligno, cada vez que quiero responder a algo me cag... en el captcha este k pones hahahahahaha acabare por pensar k soy una maquina y no una persona joder! jajajajajajajajaja

    ResponderEliminar
  3. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  4. Maligno, echa un ojo a esta entrada. En los comentarios del autor se da a entender que el uso de ETag también está comtemplado por AEPD como una intrusión en la privacidad... http://www.pabloburgueno.com/2013/08/sancion-por-incumplir-la-ley-de-cookies/

    ResponderEliminar