Разработчики браузерного движка WebKit залатали потенциально опасную уязвимость в механизме HSTS, который отвечает за перенаправление запросов на https-версию сайта. Ошибка позволяла злоумышленникам получить доступ к уникальному идентификатору посетителя веб-ресурса, а потом отслеживать его действия в Cети.

Проблема была известна давно, но сведений об ее эксплуатации до сих пор не поступало. Тревогу забили специалисты Apple, чей обозреватель Safari работает на базе WebKit. Эксперты компьютерного гиганта выяснили, что ошибка может стать возможной причиной атаки на пользователей «яблочного» браузера.

Выполняя перенаправление посетителя сайта на безопасное соединение, Safari создает для него уникальную идентификационную запись. В дальнейшем она используется для принудительного установления https-сеанса, даже если пользователь не указал этого явно в адресе ресурса. Кроме того, механизм HSTS не дает браузерам игнорировать ошибки SSL-сертификата сайта.

Уязвимость этого метода дает киберпреступникам возможность оставлять собственные метки в кэше браузера. При помощи нескольких десятков подставных доменов, принудительно подгруженных в обозреватель, злоумышленники могут получить уникальный идентификатор посетителя, который позволяет отследить его дальнейшие действия.

Чтобы предотвратить подобный сценарий, разработчики Apple ограничили количество обращений к HSTS с одного хоста. Это поможет предотвратить массовое применение конструкций типа https://n.n.n.n.n.n.n.n.n.n.n.n.n.example.com или https://d01.example.com, https://d02.example.com … https://d36.example.com. Злоумышленники будут вынуждены устанавливать десятки сеансов вручную, что сделает атаку крайне трудоемкой, а зачастую бессмысленной.

Кроме того, теперь WebKit будет блокировать запросы переадресации, содержащие сторонние метки. Таким образом, вместо данных, которые можно использовать для определения идентификатора посетителя, киберпреступники получат лишь нулевую последовательность.

Несмотря на некоторые недостатки, на сегодняшний день HSTS является ключевым механизмом для обеспечения защищенного соединения в Интернете. Технологию поддержали основные игроки на рынке браузеров — например, Microsoft включила поддержку этого метода в Internet Explorer, начиная с 11 версии. В прошлом году Google подала пример ответственного подхода к безопасности веб-ресурсов, добавив поддержку HSTS на принадлежащие ей домены верхнего уровня.

Категории: Кибероборона, Уязвимости