Privacy в Firefox - фикция

[Loo]

Today we are going to investigate the level of privacy in Firefox. Many underestimate the power of reconnaissance, while it is such an important tool in tracking possible attackers. In security reconnaissance is of great importance, because successful exploitation of a system can only be ensured if the attacker can't be located or can't be traced back. For me, working with Firefox gives me zero privacy and zero anonymity. Even when I can surf through proxies or the tor onion network, Firefox gives it all away. I talked about it many times, and Mozilla seems to ignore the wish for privacy and better anonymity by many surfers. Basically it is impossible to hide your tracks. This will be an example of how we can abuse the browsers features to track attackers or regular surfers. The problem is the inner workings of Firefox. Last year I gave away a method where one can retrieve almost any plugin file inside Firefox. It is important to understand that while these are public open source files, they can be used to de-anonymize someone, or track someone.

 

Total Recall consists out of two scripts. One HTML file and one XML file that tries to retrieve the chrome DTD files from extensions plus additional user settings in the browser. It then calculates a unique hash sum upon that info. The importance of this is, is that we can basically create unique hashes and correlate the client through it. In combination with cookies, IP checks and this hash sum we can store all data inside a database and perform analysis upon them. Imagine you visit my website verbatim, without any anonymization. This moment I can track your IP, which we can store. Then I could calculate a hash sum of all variables I want to analyze. Next time when you visit my website and you are using a proxy or simply a Tor route, I could correlate you to the fingerprint you left the first time: the hash sum. This can get very complex, but theoretically it would mean that anonymization and privacy are not possible in the Firefox client.

 

In the XML file I check for fifteen DTD files, the source has around 30. For the sake of brevity we could load in every possible DTD file, but this isn't important now. I do like you to understand that it is just a matter of time to retrieve all DTD files and attach them to our program. The DTD XML execution is lightning fast, faster than the Javascript we additionally put into it, that checks basic browser configuration settings like screen size and OS version which might not be very consistent 'as-is' but I put it in for you to try.

 

Грубый перевод, так как не "на украинском" :о))

Стоит Вам один раз посетить не-анонимно специальным не самым хитрым образом подготовленный веб-сайт, и потом хоть через прокси, хоть через Tor, Ваш файерфокс может отслеживаться слегкостью, благодаря "уникальной" технологии используемой файерфоксом для Вашего же блага, тьфу, анонимности.

[Игорь Нежданов]

.... Грубый перевод, так как не "на украинском" :о))

Стоит Вам один раз посетить не-анонимно специальным не самым хитрым образом подготовленный веб-сайт, и потом хоть через прокси, хоть через Tor, Ваш файерфокс может отслеживаться слегкостью, благодаря "уникальной" технологии используемой файерфоксом для Вашего же блага, тьфу, анонимности.

Доброта сквозит в каждом слове :smile3:

[Loo]

Ну не люблю я сие творение. Тут как в автотюнинге. Вроде да, разные детали, очень классные, отлично выполняющие свою функцию собираются вместе, и автомобиль становиться совершенно иным. Заметьте, иным (!), не значит "лучшим" Все детали от разных производителей, совместно не протестированные и не предназначенные специальным образом для совместного использования. Безусловно есть спецы, которые понимают, чего нужно с чем соединять, как оно друг на друга влияет и т.п. Только специализируются они в основном на двух-трех моделях одного производителя, и на какомто небольшом количестве запчастей. Зато тюнеров которые натычут Вам кучу всего за деньги, и оно даже както поедет масса.

[Vinni]

Total Recall consists out of two scripts. One HTML file and one XML file that tries to retrieve the chrome DTD files from extensions plus additional user settings in the browser. It then calculates a unique hash sum upon that info. The importance of this is, is that we can basically create unique hashes and correlate the client through it. In combination with cookies, IP checks and this hash sum we can store all data inside a database and perform analysis upon them. Imagine you visit my website verbatim, without any anonymization. This moment I can track your IP, which we can store. Then I could calculate a hash sum of all variables I want to analyze. Next time when you visit my website and you are using a proxy or simply a Tor route, I could correlate you to the fingerprint you left the first time: the hash sum. This can get very complex, but theoretically it would mean that anonymization and privacy are not possible in the Firefox client.

 

In the XML file I check for fifteen DTD files, the source has around 30. For the sake of brevity we could load in every possible DTD file, but this isn't important now. I do like you to understand that it is just a matter of time to retrieve all DTD files and attach them to our program. The DTD XML execution is lightning fast, faster than the Javascript we additionally put into it, that checks basic browser configuration settings like screen size and OS version which might not be very consistent 'as-is' but I put it in for you to try.

А ссылку указать на первоисточник? :smile2: Пришлось искать, время тратить...

Если подробнее - можно идентифицировать пользователя по набору установленных у него плагинов в комбинации с рядом пользовательских установок (посчитать контрольную сумму всего этого). На самом деле подход интересный, так как позволяет более-менее идентифицировать посетителя даже при отсутствии куков :smile3:

Но он требует включенного JavaScript для этого сайта - так что против него есть легкая защита в виде Noscript, о чем и говорили участники обсуждения этой программы.

 

[Deepthroat]

А можно ссылку на источник? Интересует описанная уязвимость.