RadicalResearch HSTS Super Cookies
dimanche 4 janvier 2015 à 02:51Mitsu'liens 04/01/2015
Ah. Vous connaissez HSTS ? C'est un header qui indique au navigateur de toujours utiliser une connexion TLS pour un certain host.
Problème: en mode navigation privée, les flags HSTS sont tout de même utilisés. Et Safari ne permet pas de supprimer les flags HSTS, ce qui permet d’effectivement tracer l'utilisateur via un cookie. Pire: les flags HSTS sont synchronisés dans iCloud.
Diablement malin. Heureusement inefficace avec Firefox.
(Permalink)
Ah. Vous connaissez HSTS ? C'est un header qui indique au navigateur de toujours utiliser une connexion TLS pour un certain host.
Problème: en mode navigation privée, les flags HSTS sont tout de même utilisés. Et Safari ne permet pas de supprimer les flags HSTS, ce qui permet d’effectivement tracer l'utilisateur via un cookie. Pire: les flags HSTS sont synchronisés dans iCloud.
Diablement malin. Heureusement inefficace avec Firefox.
(Permalink)