La RFC 6797 lo describe como se indica a continuación: "Los UA, User-Agent, deben conservar datos persistentes sobre sitios web que indiquen la habilitación estricta de la política de seguridad para períodos de tiempo declarados por los sitios web. Además, los UA deben almacenar en caché la información de la política de seguridad estricta más reciente para permitir que los sitios web actualicen la información". El RFC reconoce el potencial para el seguimiento de HSTS, y las posibilidades de abuso se demostraron ya en el año 2015.
Figura 1: User Agent en el RFC
El investigador Sam Greenhalgh estableció el concepto de PIN HSTS para cada sitio redireccionado HTTPS, es exclusivo para el usuario y el sitio, y es legible desde la configuración del navegador por cualquier sitio. Esos pines podrían recuperarse en el futuro y el usuario no tiene la oportunidad de borrarlos. Un atacante que busca rastrear los visitantes del sitio puede aprovechar la caché HSTS del usuario para almacenar un bit de información en el dispositivo de ese usuario. Por ejemplo, cargar este dominio con HTTPS, podría representar un 1, mientras que ninguna entrada representaría o sería representado por un 0. Al registrar una gran cantidad de dominios, por ejemplo 32, y forzar la carga de recursos desde un subconjunto controlado de esos dominios, se puede crear un vector de bits lo suficientemente grande como para representar de forma única a cada visitante.
Apple ha decidido mitigar ambos lados del ataque, al limitar el estado de HSTS y abordar cómo se graba el estado de HSTS. Sin duda, un interesante paso que ha dado Apple hacia una mejora en lo que a privacidad se refiere.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...