Все мы знаем, что с файлами cookie необходимо обращаться осторожно, и новые исследования показывают, что поисковые файлы cookie Google имеют особые проблемы.
Файлы cookie — мы, программисты, любим их, потому что они позволяют превратить веб-взаимодействие без отслеживания состояния в приложение с отслеживанием состояния. Проблема в том, что файлы cookie имеют репутацию зла — и, возможно, с ними не обращаться с большой осторожностью. В недавнем исследовательском документе Alcatel-Lucent Bell Labs очень подробно описывается, как можно использовать явно безвредный файл cookie сеанса, чтобы узнать много нового о пользователе.
Настолько, что статья называется «Покажи мне свое печенье, и я скажу тебе, кто ты». Это немного вводит в заблуждение, потому что в документе также объясняется, как получить файл cookie, даже если пользователь не хочет его показывать.
Рассматриваемый файл cookie — это файл cookie Google SID, который используется для идентификации пользователя для ряда служб Google, включая поиск. Проблема в том, что этот файл cookie используется многими различными службами с разными уровнями безопасности. Например, файл cookie SID используется для персонализации поиска и записи того, что пользователь ищет и даже какие веб-сайты он посещает. Эти данные собираются на основе только файла cookie SID без какой-либо дополнительной авторизации, т.е. вам не нужно вводить пароль.
Если вы действительно хотите проверить данные, Google просит вас войти в систему, чтобы данные были в безопасности, даже если cookie нет — или это так?
В документе сначала объясняется, как перехватить cookie-файл SID пользователя, что является довольно простой задачей, поскольку существует множество служб, для которых cookie-файл не считается угрозой безопасности и передается в открытом виде. Файл cookie SID действителен для всего домена * .google.com, поэтому все, что вам нужно сделать, это заставить пользователя посетить поддельный веб-сайт Google, который использует HTTP, а не HTTPS. В большинстве случаев это оказывается довольно просто.
Как только злоумышленник получает файл cookie SID, он сначала кажется бесполезным, потому что для просмотра истории поиска пользователей или выполнения каких-либо других действий требуется аутентификация. Это умная часть. Если пользователь включил историю веб-поиска, тогда любой поиск. результаты возвращаются Google с цветовой кодировкой, чтобы показать, сколько раз они были посещены пользователем. Выполнение поиска с использованием файла cookie SID не требует аутентификации, и, изучив цветовую кодировку возвращаемых ссылок, вы можете определить, посещал ли пользователь их раньше.
Поэтому все, что вам нужно сделать, это выполнить широкий спектр поисков и узнать, где посетил пользователь. Это значительно упрощается за счет использования фильтров «посещенные» и «социальные». Первый возвращает только те результаты, которые были посещены, а второй возвращает только сообщения в социальных сетях и комментарии, сделанные пользователем.
Используя фильтр «Посещенные страницы» и поиск по домену .info, вы обнаружите, что я часто посещаю I Programmer!
Авторы провели эксперимент, чтобы увидеть, сколько данных они могут получить, просто используя файл cookie SID. Для этого они расширили надстройку FireSheep для захвата файлов cookie и отображения результатов. Десять пользователей попросили провести эксперимент. У всех была включена история поиска, и 6 из 10 ничего не знали о ней до экспериментов. По оценкам, в 50% учетных записей Google включена история поиска, и многие не знают об этом.
Использование диапазона широко распространенных целей поиска, например .com, с фильтром посещений возвращает все сайты .com, которые посетил пользователь. В ходе эксперимента обычно удавалось получить от 10% до 80% сайтов, которые посещали пользователи. Количество целей поиска было ограничено, чтобы пользователь не заметил атаки в своей истории поиска — хотя, учитывая, что многие не знали, что была история поиска, это кажется маловероятным.
Как защитить себя от утечки информации?
Просто используйте Google без входа в свою учетную запись, и файл cookie SID не будет отправлен. Вы также можете отключить историю веб-поиска. В качестве альтернативы всегда подключайтесь через VPN.
В конечном итоге Google необходимо повысить безопасность даже явно безобидных файлов cookie SID, чтобы они всегда передавались в зашифрованном виде.