Analytics

Что

С ростом рекламы и контента (думаю в Ghostery и специфике происхождения), а также браузер отслеживания защиты (см. www.cookiestatus.com), маркетинг поставщиков технологий, их работа вырезал для них. И когда я говорю “их”, я имею в виду, что они должны активно выявлять и использовать любые лазейки, они могут найти, чтобы сохранить на сбор их персональных данных.

What's

В этой статье я взглянуть на один из таких использовать вектор, каноническое имя (CNAME в в) ДНС-записи, в частности.

Феномен сопоставления поддоменов на сторонние сервисы не ограничиваются только рекламных и маркетинговых технологий, хотя. В этой статье я познакомлю вас на обширные исследования, собранные Зак Эдвардс.

Это исследование показывает, как бесчисленных поддоменов высокая ценность и важность (Дума, Правительство, образование) были скомпрометированы и загрунтовать для кражи учетных данных записываются в файлы куки.

Это важно для повышения осведомленности о рисках, связанных с отображением домены на сторонних серверах. Хотя большая часть исследований касается Зака сценариев, где поддомены были переданы злоумышленникам, конечный результат тот же: третья сторона имеет доступ к данным за пределами того, что владелец сайта или бизнеса может быть рассмотрено.

Но прежде чем мы углубимся в себя риски, важно понять, как мы дошли до точки капитуляции наши собственные пространства имен домена для сторонних поставщиков и услуг.

Риски третьих лиц

Дело в том, что доступ к хранилищу в контексте сторонних, в просторечии именуемое “сторонние куки”, стала нестабильной и ненадежной основой для любой системы сбора данных, независимо от поставщика браузера:

  • Сафари блокирует сторонние куки-файлы. Сайты и сервисы могут запросить доступ к сторонним хранения от браузера пользователя с хранилищем доступ к АПИ.
  • Храбрый блокирует сторонние куки-файлы.
  • В браузере Firefox блокирует сторонние куки-файлы на домены, которые находятся в их черный список.
  • Края блокирует сторонние куки-файлы на домены, которые находятся в их черный список, с некоторых исправлений.
  • Хром планирует поэтапное поддержка сторонних печенье к 2022 году. Они также выкатывает изменения как в браузере куки оформляются в браузере, по умолчанию все файлы куки, чтобы SameSite=Лакса , если куки вручную обновить соответствующий флаг при установке.
  • SameSite=Лакса — это атрибут, который задает файл cookie-файлов можно только в контексте. А не «защита от слежения» как таковой, это все-таки довольно значительное движение в помощь аудиторам определить, какие файлы были помечены для потенциальных межсайтовый доступ.

    What's

    Какой же выход для торговцев, которые хотят продолжить их крест-сайте шалостей слежения? Ну, если стороннего контексте — это слишком ненадежно, чтобы строить какие-либо бизнес-логики, это время, чтобы взглянуть на контексте.

    Блаженство первой партии

    Когда продавец перейти от сторонних контексте решает, это обычно означает одно или несколько из следующих.

    Они начинают украшать входящих ссылок на сайт от поставщика платформы, где пользователь был идентифицирован, например, с помощью логина.

    Это как Facebook работает, например, в каждую ссылку, которую вы выберите в Facebook добавляется fbclid параметра. После этого, любой Facebook (или партнер) скрипт работает на сайте, можно считать, что параметр из URL-адреса-адрес и отправить его обратно поставщику. Таким образом, Facebook будет знать, что человек, для которого хэш был создан посетил ваш сайт.

    What's

    Они начинают использовать браузер отпечатков пальцев для идентификации пользователя с одного протокола HTTP-запроса к следующему. Дактилоскопия-это опасно, потому что он абсолютно без гражданства — нет необходимости сохранять любую информацию в браузере.

    Пользователь лишен возможностей для активного предотвращения этого. Это привело дактилоскопии, чтобы стать одним из редких сфер, где существует практически всеобщее согласие между поставщиками браузеров, что это плохо и должно быть предотвращено.

    What's

    Они просят владелец сайта, чтобы запустить свои скрипты локально или использовать локальные маршрутизаторы. Таким образом, они могут обойти блокировщики рекламы, ориентированных на домены поставщика.

    What's

    Они просят владельцев сайтов зарезервировать поддомен в своем домене пространство имен, которое настроено на выбор поставщика серверов.

    Все эти подходы были разработаны, чтобы избежать эвристики в браузеры и расширения для браузеров, которые нацелены сторонних трекеров. Надежность этих методов зависит от того, как легко владелец сайта, чтобы обманом вовлечь в активное участие в их.

    Ссылке Украшения, например, не требует от владельца сайта ничего, кроме как добавить поставщика на JavaScript для сайта. Однако, это не самый надежный эксплуатировать, поскольку блокаторы, скорее всего, уже невозможен доступ к самым популярным УСР, принадлежащих поставщикам отслеживание.

    Последний вариант в списке окажется наиболее надежным, поскольку он требует от владельца сайта, чтобы активно и сознательно вступают в сговор с третьими лицами для улучшения качества сбора данных. Это подвиг мы будем обсуждать в остальной части этой статьи, так как он имеет большие последствия для конечных пользователей конфиденциальность и безопасность данных.

    Поддомен Сопоставления

    В этой статье показано, как некоторые производители в рекламных и маркетинговых технологий приближаются ограничения на сторонние связи. Они напрямую обратиться к своим клиентам и просить их помочь в сохранении служба жив.

    Суть обычно в том, что сайт должен зарезервировать поддомен (например, tracking.domain.com), который затем указывают на поставщика доменных имен (напр. identity.vendor.com) с помощью канонического имени (CNAME в в) ДНС-записи.

    Кроме того, на сайте можно настроить А/аааа записи, которые указывают непосредственно поставщику на IP-адрес сервера, но это редкость. С записью типа CNAME, поставщик имеет свободы перетасовки диапазоны айпи-адресов серверов, не нарушая ссылка на подключенный доменных имен.

    Как только ДНС-записи разрешает все запросы tracking.domain.com принимаются поставщиком серверов за identity.vendor.com.

    Так почему пройти через все эти неприятности? Ну, есть несколько причин:

    1. Сайт не должен ослабить политику безопасности, чтобы разрешить сторонние домены для загрузки и запуска своих скриптов на сайте. Это уменьшает трение при развертывании стороннего сервиса на сайте.

    2. Это так легко настроить запись CNAME в записи. Нет необходимости настраивать сложные обратного прокси или для создания нескольких а/аааа-записи. Это (как правило) только один смена ДНС, что любой адекватный доступ могу сделать.

    3. А identity.vendor.com скорее всего, в большинстве черных списков для браузеров и расширений браузера, tracking.domain.com скорее всего, нет. Это довольно твердый способ обойти блокировщики рекламы.

    4. Поскольку сервис теперь работает в контексте с остальной частью сайта, сервис могут использовать куки-файлы, даже те, с как как HttpOnly флаг.

    Первая партия печенья и утечки данных

    Когда браузер отправляет запрос HTTP-запрос на адрес назначения, что запрос будет включать в себя все куки написано на целевой домен и Домены “Высшего” в иерархии, вплоть до самой верхней контролируемый частными лицами доменных имен.

    Например, когда владела.домен отправляет в HTTP-запрос к суб.суб.в собственности.домен, что запрос будут включены все файлы куки написано на суб.суб.в собственности.домен, суб.в собственности.домени принадлежит.домен.

    Если исходные и целевые просьбы будут же территории (т. е. они разделяют самый верхний контролируемый частными лицами доменных имен), то запрос происходит в контексте, который в значительной степени свободно от браузеров и плагинов сегодня.

    Когда вы сдадитесь, либо добровольно путем сопоставления домен себе или непреднамеренно через поглощение, дочернего домена третьей стороне, вы открываете свой бизнес на потенциально ужасающих данных и утечки учетных данных.

    What's

    Файл проверки подлинности файла cookie, с которой браузер войти в систему с моей идентификатор Гугле

    Поскольку веб-серверу в HTTP-запрос обладает большим подмножество первая партия печенья установить на любой сайт, Такие вещи, как государство и проверки подлинности маркеров автоматически регистрируются на веб-сервере, принадлежащий продавцу. Это происходит потому, что многие сайты до сих пор их собственностью.домен, делая их доступными для всех поддоменов данного доменного имени.

    Получив контроль над поддомен также открывает возможности для целого ряда различных и очень опасных подвигах, начиная от межсайтового скриптинга на умышленное бренд клевету.

    Иногда эти куки не содержат личную информацию, такую как адреса электронной почты и имена пользователей, позволяет производителям повысить пользователя между сайтами отслеживания профиля без них мочь ничего с этим поделать.

    What's

    Персональные данные и сведения о проверке подлинности в первой партии печенья

    Как правило, есть Политика конфиденциальности и красные ленты в месте, где продавцы предлагают сложные обещает, что они не будут злоупотреблять запись информации на своих веб-серверах. Но эти методы очень разнообразны.

    Кроме того, ведь все происходит за кулисами «сервер-сервер» коммуникаций, это практически невозможно для независимых аудиторов, чтобы знать, что происходит.

    И это предупреждение главное этой статьи:

    При сопоставлении свой поддомен на сторонний сервис, вы отправляете гораздо больше данных третьим лицам, чем вы, возможно, ожидали.

    Сравните это с отправкой запроса напрямую к поставщику-конкретный домен. По умолчанию эти запросы будут включать только (сторонние) печенье написано на домен поставщика. Любая другая информация должна быть закодирована с помощью яваскрипта, который может быть проанализирован и проверенные кем-либо посетив сайт.

    Но с поддомена карт, все файлы куки доступны на этом домене будут отправлены, в том числе помеченные как как как HttpOnly. Эти как как HttpOnly куки-файлы не могут быть доступны с помощью клиентского сценария на все, что может усыпить сайте владельцам ложное чувство безопасности.

    Исследования Зак Эдвардса на экипаж pickaflick.com

    Зак Эдвардс является одним из тех людей в Твиттере, вы просто должны следовать. Он проводит исчерпывающие исследования во многих областях пересекающихся безопасности интернета и цифрового маркетинга и аналитики. Одним из его любимых мозолей на данный момент является то, что он окрестил PickaFlick.com атак.

    В этих случаях злоумышленник получает контроль над поддоменов (обычно ДНС-записей оставался болтаться ни при чем), а потом начинается вброс результатов поиска с фиктивные ссылки, надеясь, что посетитель будет нажать одну из них.

    What's

    От https://bit.ly/epic-games-hack

    Если посетитель щелкает на такой ссылке, что протокол HTTP-запроса будут включены все файлы соокіе на конкретном поддомен. См. предыдущую главу для примера, какого типа информация может быть закодирована в этих куки.

    На скриншоте выше от thehousepartyapp.com, что Зак довольно подробно сообщалось в эпические игры были скомпрометированы поддомен поглощений. Это было изначально в ответ на эпических игр смехотворные $1,000,000 баунти подтверждение клеветнической кампании, связанные с возможных хакерских инцидентов.

    Я рекомендую вам прочитать статью Зака, так как он показывает, как широко распространенной и давней атаки pickaflick.com (и подобные). Это же ужасть как не замечая так много веб-сайтов и владельцы сервиса на проблемы пивоварения в своих собственных дворах.

    Перейти через ваш сайт в результатах поиска с помощью поисковых запросов, как site:mydomain.com "бесплатная электронная книга" и посмотреть, если фиктивные результаты сунутся. Если они делают, это время для записи аудит ДНС. Убедитесь в том, чтобы устранить любого, что вы не признаете или контролировать конечную точку больше.

    What's

    Это диверсия на Зака исследования не винить запись CNAME в подвиги сами по себе, но они иллюстрируют, как опасные и хрупкие в этом аспекте протокола НТТР является.

    Меры профилактики

    Чтобы избежать сопоставления поддомен вредит вашему бизнесу, есть некоторые способы вы можете действовать на.

    1. Следуйте инструкциям в предыдущей главе, чтобы увидеть, если у вас нарушена поддоменов. Если это так, убедитесь, что вы удалить эти поддомены из реестра ДНС. Было бы неплохо сообщить об этом в Службу вы используете для вашего ДНС, так что они могут принять соответствующие меры с их клиенты.

    2. Убедитесь, что все государственные и проверки подлинности маркеров, и действительно все, что может использоваться для олицетворения пользователя, написанные на поддомене, что у вас есть контроль над. Убедитесь, что они не записываются непосредственно на самой верхней контролируемый частными лицами доменных имен. Убедитесь, что они да и безопасно. Убедитесь, что они SameSite=строгая, если вы им нужны в стороннем контексте.

    3. Убедитесь, что ваш контент политике безопасности не просто по шаблону все поддомены (*.в собственности.домен). Разрешить только те домены, которые вы уже проверили и управления.

    4. Периодически аудит печенье доступны в как первого, так и сторонних контекстах на вашем сайте.

    Это действительно сводится к тому, что доверять вам место в поставщиков, с которыми вы сопоставляете поддоменов, в управления вы над потоками данных, активов, и доступ к хранилищу через свои сайты, и процессы у вас в место периодического аудита эти потенциально опасные шлюзы наименование-уничтожение утечек.

    Заключительные мысли

    Почему пройти через трудности разглагольствований о циклической переадресации, когда они были так красноречиво, охватываемых этой невероятной статья Ромен Cointepas? Зачем обсуждать нападения, захват поддомен, когда Зак Эдвардс уже сделал всю грязную работу?

    Ну, это коварный вектор атаки, потому что он может быть согласован с лучшими намерениями. Он должен больше выдержки. Все больше и больше поставщиков с просьбой сопоставления поддомен, и важно, чтобы владельцы сайтов знают, что они подписались.

    Перемещение поставщиков услуг в контексте не обязательно универсально плохо. Как владелец сайта, вы активно участвуете в проверке услуг, интегрированной на вашем сайте, и путем сопоставления ДНС-записей третьим лицам, вы активно принимаете на себя ответственность за потоки данных и потоки в и из вашего сайта. По крайней мере, в теории.

    Проблема не обязательно связана с договорами и условия предоставления услуг вы подписываете с продавцами, которые обещают ограничить типы данных, содержащихся в этих просьбах. Нет, проблема с этим аспектом протокола НТТР в целом.

    Разрешать файлы куки, чтобы пройти беспрепятственно через запись CNAME в перенаправляет на возможность отслеживания доменов, где кроется проблема. Браузеры не (пока) не имеем возможности по обнаружению опасных циклической цепи, но это набор функций, я бы не удивился увидеть в их «дорожных картах».

    В Европейском Союзе, ePrivacy директивы руководства предприятия, чтобы быть в курсе и аудит все ключи и значения, хранящиеся в Всем браузере хранения на все времена. Имея актуальный аудит первая партия печенья, например, снижает риск утечки этой информации третьим лицам.

    Если вам нужно управлять государством, проверки подлинности и/или личную информацию в куки, убедитесь, что они не устанавливаются в корень пространства доменных имен, которые вы контролируете. Таким образом, Вы уменьшить риск такой утечки информации с сервером конечные точки у вас нет контроля над.

    Просто будьте бдительны и карту этих потоков данных. Это хороший способ, чтобы уменьшить огромное количество рисков, встроенный в ваш сайт, приложение или услуги, сохраняется и обрабатывает данные пользователей.

    Related posts

    Главная причина, почему все-таки Linux

    admin

    Изучаем интернет-маркетинг самостоятельно: более 50 бесплатных курсов

    admin

    Что не так с экспериментом Microsoft про 4-х дневную неделю или не теряем голову при виде 40% эффективности

    admin

    Leave a Comment