¿Se puede usar HPKP para rastrear a los usuarios?

5

Ya existe una gran variedad de "supercookies" y métodos de detección de huellas digitales en el navegador. Me pregunto si HPKP proporciona otro método para rastrear a los usuarios.

Un servidor podría enviar una clave de copia de seguridad adicional que nunca se debe utilizar como una clave pública, sino que es un identificador único para ese visitante. El navegador lo almacenará y lo conservará, incluso si se borran el historial de navegación y las cookies. Si la clave se puede recuperar del cliente (sin tener que probar todas las claves posibles hasta que encuentre una que valide), se podría usar para rastrear a los usuarios.

Así que mis preguntas son:

  • ¿Se puede hacer esto?
  • ¿Se usa de hecho en la naturaleza?
  • ¿Hay alguna otra forma de protegerse que no sea apagar HPKP por completo?
pregunta Anders 08.06.2016 - 12:56
fuente

1 respuesta

4

HPKP se podría usar para el seguimiento en gran escala, ya que tiene URI de informes:

  1. Envíe el encabezado HPKP con el conjunto includeSubdomains y un informe-uri con un único parámetro generado aleatoriamente.
  2. Incruste una imagen oculta de un subdominio que use un certificado no válido / no anclado.
  3. El navegador llama a report-uri con un parámetro único.

El único problema que veo es un nuevo informe-uri con un nuevo UID que se emite cada vez que el usuario visita el sitio que establece el UID.

También vea sección de Consideraciones de privacidad de HPKP RFC .

    
respondido por el you 08.06.2016 - 14:23
fuente

Lea otras preguntas en las etiquetas