Um desses mecanismos, disponibilizado pela maioria dos browser, é o modo anônimo. Mas será que nos garante verdadeiramente o anonimato? Ao que parece….não!
A navegação em modo anônimo dá uma certa segurança aos utilizadores que querem proteger a sua identidade enquanto navegam. No entanto, de acordo com o investigador na área de Segurança, Sam Greenhalgh, o modo seguro não é de fato tão seguro até porque os “Super Cookies” conseguem na mesma manter o registo das páginas visitadas.
De acordo com a informação publicada no site arstechnica, o protocolo de segurança HTTP Strict Transport Security (HSTS) é vulnerável. Este protocolo foi criado com o objectivo de garantir segurança adicional enquanto se navega na Internet, forçando que a comunicação a um site tente ser sempre via HTTPS.
No entanto o investigador Sam Greenhalgh apresentou o HSTS Super Cookies, um mecanismo capaz de ultrapassar a segurança do HSTS. Tal como os cookie tradicionais, que guardam várias informações dos sites que visitamos mas que apenas funcionam em modo não anônimo, os Super Cookies têm a mesma funcionalidade mas funcionam em modo anônimo, conseguindo fazer o tracking da navegação.
Como tudo funciona?
Para cada site, o HSTS guarda informações sobre a segurança do site. Se o usuário visitar um site em que o HSTS está ativo, então o browser irá de imediato estabelecer a comunicação via HTTPS pois tem essa indicação.
Este redirecionamento protege o acesso do usuário ao site, mas pode ser “usado” por sites maliciosos uma vez que os dados do browser podem ser manipulados e posteriormente obtidos por outros sites.
Para demonstrar tal vulnerabilidade, Sam Greenhalgh criou um site para o efeito. Podem acessar e verificar aqui.