Mod Privasi 'Browser Tidak Jadi Swasta Selepas Semua

Semua pelayar web utama mempunyai mod privasi yang sepatutnya meliputi trek pengguna setelah dia selesai sesi Internet, tetapi trio penyelidik mendapati bahawa mod gagal untuk membersihkan semua jejak aktiviti Surfer yang bersih.

Sebagai contoh, Mozilla Firefox mempunyai sesuatu yang dipanggil "protokol pengendali adat" yang membuat URL yang berkeliaran bahkan selepas pengguna meninggalkan mod privasi.

Artwork: Peter dan Maria HoeySecure certificates juga boleh digunakan untuk menggagalkan tujuan mod privasi. Firefox, Internet Explorer dan Safari semuanya menyokong penggunaan sijil klien SSL. Sebuah laman web, melalui JavaScript, boleh mengarahkan penyemak imbas untuk menghasilkan pasangan kunci awam / swasta klien SSL. Pasangan kunci itu dikekalkan oleh pelayar walaupun selepas sesi privasi berakhir. Di samping itu, jika tapak menggunakan sijil ditandatangani sendiri, IE dan Safari akan menyimpannya secara tempatan dalam peti masuk sijil Microsoft dan ia akan kekal di sana apabila sesi privasi berakhir. Jadi sesiapa yang tahu di mana mencarinya dapat mencari dan melihat sekeliling perjalanan Internet pengguna.

[Bacaan lanjut: Cara menghapuskan malware dari PC Windows Anda]

Internet Explorer juga meniup perlindungan pengguna dalam privasi mod apabila ia memulakan permintaan SMB dengan pelayan Web. "Sekalipun pengguna berada di belakang proksi, membersihkan keadaan penyemak imbas, dan menggunakan InPrivate, sambungan SMB mengenalpasti pengguna ke tapak terpencil," para penyelidik - Gaurav Aggarwal dan Dan Boneh, Stanford University, dan Colin Jackson, dari Carnegie Mellon University - menulis dalam satu kertas kerja yang dijadualkan dibentang minggu depan di Simposium Keselamatan Usenix di Washington, DC

Walau bagaimanapun, trio mendapati bahawa kecacatan SMB boleh diabaikan kerana banyak penapis ISP SMB port 445.

Mereka juga menaikkan bendera merah mengenai potensi penyemak imbas untuk melemahkan mod privasi. "Tambahan penyemak imbas (pelanjutan dan pemalam) menimbulkan risiko privasi untuk penyemakan imbas peribadi kerana mereka dapat mengekalkan keadaan ke cakera tentang tingkah laku pengguna dalam mod peribadi," tulis para penyelidik.

"Pengembang tambahan ini mungkin tidak menganggap mod melayari swasta sementara mereka bentuk perisian mereka dan kod sumber mereka tidak tertakluk kepada pengawasan ketat yang sama yang pelayar tertakluk, "tambah mereka.

Para penyelidik juga menemui jalan untuk Webmaster untuk menentukan sama ada pengguna mengakses laman web mereka dalam mod privasi. Namun mereka mengakui bahawa teknik yang mereka gunakan mengeksploitasi serangan yang telah ditetapkan di Safari, tidak lama lagi akan ditutup di Firefox, dan dijangka ditutup pada IE dan Chrome.

Dasar dari penyelidikan trio: Jangan lakukan apa-apa dalam mod privasi yang anda tidak akan lakukan dengan bos anda melihat ke atas bahu anda