На конференции Toorcon продемонстрирован (https://zyan.scripts.mit.edu/presentations/toorcon2015.pdf) новый вид  атаки (https://github.com/diracdeltas/sniffly) на браузеры, позволяющей выяснить какие сайты пользователь посещал ранее. Атака применима к сайтам, на которых включена поддержка протокола HSTS (https://ru.wikipedia.org/wiki/HSTS) для автоматизации проброса на области HTTPS при запросе ресурса с использованием протокола HTTP, и проявляется даже если пользователь очистил историю посещений. Для демонстрации уязвимости подготовлена специальная страница (http://zyan.scripts.mit.edu/sniffly/), анализирующая открытие в прошлом некоторых популярных ресурсов. Проблема успешно проявляется в Firefox и Chrome, но также затрагивает и другие браузеры, поддерживающие  HSTS. В Tor Browser проблема не проявляется из-за ограничения точности таймера.

Техника атаки основывается на том, что CSP запросив несуществующее изображение на сайте с использованием протокола HTTP, в случае если на этом сайте выставлен флаг HSTS  и сайт открывался ранее, его параметры HSTS прокэшированы и  ответ будет возвращён после одного запроса (URL сразу будет запрошен по HTTPS, минуя запрос по HTTP). Если сайт не был открыт ранее, вначале будет выполнен запрос по HTTP, а затем, после получения заголовка HSTS, браузер отправит повторный запрос с использованием HTTPS, т.е. операция займёт ощутимо больше времени. Оценив время задержки кодом на JavaScript можно с достаточно большой вероятностью определить открывал пользователь проверяемый сайт ранее или нет.

URL: http://arstechnica.com/security/2015/10/unpatched-browser-we.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43209

• Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 00:23 , 28-Окт-15
  • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 02:16 , 28-Окт-15
    • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 07:59 , 28-Окт-15
      • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 08:07 , 28-Окт-15
        • Новый вид атаки по определению ранее открытых в браузере сай...,kai3341, 09:07 , 28-Окт-15
        • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 12:12 , 28-Окт-15
      • Новый вид атаки по определению ранее открытых в браузере сай...,Анонимец, 12:11 , 28-Окт-15
      • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 13:22 , 28-Окт-15
        • Новый вид атаки по определению ранее открытых в браузере сай...,Анонимец, 08:13 , 29-Окт-15
          • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 13:35 , 29-Окт-15
          • Новый вид атаки по определению ранее открытых в браузере...,arisu, 17:45 , 29-Окт-15
    • Новый вид атаки по определению ранее открытых в браузере сай...,kai3341, 09:19 , 28-Окт-15
      • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 10:46 , 28-Окт-15
  • Новый вид атаки по определению ранее открытых в браузере сай...,Какаянахренразница, 05:36 , 28-Окт-15
• Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 00:41 , 28-Окт-15
  • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 00:46 , 28-Окт-15
    • Новый вид атаки по определению ранее открытых в браузере сай...,Who, 00:49 , 28-Окт-15
    • Новый вид атаки по определению ранее открытых в браузере сай...,ы, 00:51 , 28-Окт-15
      • Новый вид атаки по определению ранее открытых в браузере сай...,mkostik, 07:37 , 28-Окт-15
      • Новый вид атаки по определению ранее открытых в браузере сай...,fig, 08:05 , 28-Окт-15
      • Новый вид атаки по определению ранее открытых в браузере сай...,qwerty, 11:11 , 28-Окт-15
      • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 14:48 , 28-Окт-15
    • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 02:07 , 28-Окт-15
  • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 00:53 , 28-Окт-15
    • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 01:13 , 28-Окт-15
      • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 01:51 , 28-Окт-15
        • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 02:10 , 28-Окт-15
      • Новый вид атаки по определению ранее открытых в браузере сай...,cmp, 11:50 , 28-Окт-15
    • Новый вид атаки по определению ранее открытых в браузере сай...,Аноним, 00:58 , 29-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Аноним, 01:00 , 28-Окт-15
  • Новый вид атак по определению ранее открытых в браузере сайт...,arzeth, 01:37 , 28-Окт-15
    • Новый вид атак по определению ранее открытых в браузере сайт...,ы, 02:35 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Аноним, 01:11 , 28-Окт-15
  • Новый вид атак по определению ранее открытых в браузере сайт...,Аноним, 02:56 , 28-Окт-15
    • Новый вид атак по определению ранее открытых в браузере сайт...,tr, 11:24 , 28-Окт-15
      • Новый вид атак по определению ранее открытых в браузере сайт...,Аноним, 23:47 , 28-Окт-15
• Новый вид атаки по определению ранее открытых в браузере сайтов,Аноним, 01:30 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере...,arisu, 04:06 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Аноним, 06:07 , 28-Окт-15
• Новый вид атаки по определению ранее открытых в браузере сайтов,Аноним, 07:17 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Аноним, 07:51 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Нанобот, 09:43 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Orsi, 09:58 , 28-Окт-15
• В Internet Explorer 11 не работает,Аноним, 11:03 , 28-Окт-15
  • В Internet Explorer 11 не работает,Orsi, 11:33 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,nhjhjo, 11:21 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Mirraz, 11:52 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Аномин, 12:11 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Аноним, 14:57 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Аноним, 15:22 , 28-Окт-15
  • Новый вид атак по определению ранее открытых в браузере сайт...,Я, 15:35 , 28-Окт-15
    • Новый вид атак по определению ранее открытых в браузере сайт...,Radjah, 16:31 , 28-Окт-15
  • Новый вид атак по определению ранее открытых в браузере...,arisu, 17:27 , 28-Окт-15
  • Новый вид атак по определению ранее открытых в браузере сайт...,Аноним, 18:07 , 31-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Sluggard, 16:25 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Аноним, 18:10 , 28-Окт-15
• Новый вид атак по определению ранее открытых в браузере сайт...,Anonplus, 15:01 , 29-Окт-15
  • Новый вид атак по определению ранее открытых в браузере...,arisu, 17:46 , 29-Окт-15
    • Новый вид атак по определению ранее открытых в браузере...,Аноним, 21:23 , 29-Окт-17
      • Новый вид атак по определению ранее открытых в браузере...,arisu, 04:57 , 30-Окт-17

Твою ж мать...

Тоже мне проблема. Я использую фф как основной браузер, и мне на указанной странице назвали всего 2 сайта. И это при том, что точность оказалась 50%. Этот новый вид атаки однозначно опасен!

Хотя, может быть, на хромиумах всё иначе, но эта "атака" не особо внушает опасения. Кстати, я использую NoScript и HTTPS Everywhere %)

> ... мне на указанной странице назвали всего 2 сайта. И это при том, что точность оказалась 50%. Этот новый вид атаки однозначно опасен!

Мне оно выдало целую портянку всяко-разных сайтов, названия которых я видел первый раз в жизни, при том, что я успел побывать лишь на опеннете, и весь кэш браузера был до того вычищен абсолютно. Смеялсо от души!

Важное уточнение: опеннета в списке не оказалось. :D
Это страшная атака, и мы все умрем! :))

PS. Браузер palemoon + куча дополнений.

> Важное уточнение: опеннета в списке не оказалось. :D

Новость не читай @ комментарий оставляй
Почему опеннета в списке не оказалось? В чём суть уязвимости?

- Опеннета в списке не оказалось.

Сказано же - HSTS

Подтверждаю, атака очень страшна.
Зайдя на тестовую страницу получил в колонке "Sites you've probably visited:" список из 152 адресов, которые никогда в жизни не посещал :)

Стоят HTTPS Everywere и Ghostery

ну чего, поздравляю у вас вирус, а то и целый букет)
значит эти сайты посещало какое-то из дополнений браузера

вы много таких вирусов под linux знаете? :)

ghostery же

> вы много таких вирусов под linux знаете? :)

да немало. обычно в креслах растут.

> Тоже мне проблема. Я использую фф как основной браузер, и мне на указанной странице назвали всего 2 сайта. И это при том, что точность оказалась 50%. Этот новый вид атаки однозначно опасен!
> Хотя, может быть, на хромиумах всё иначе, но эта "атака" не особо внушает опасения. Кстати, я использую NoScript и HTTPS Everywhere %)

Прочитай новость ещё раз. Суть атаки -- идентификация пользователя^W браузера. Именно через HTTPS, потому HTTPS Everywhere лишь усугубляет ситуацию. Кстати, а как ты пролез на Opennet? Отключил блокирование HTTP-запросов? Ну и толку теперь от твоего HTTPS Everywhere, если ты его отключил. //Та же х?йня просто.
Мы не знаем, как именно она может применяться, но вот варианты:
1) Сайт идентифицирует пользователя по "отпечатку" посещённых ресурсов (и передаёт информацию АНБ, лол).
2) Сайт обнаруживает, например, пользователей, посещавших пиратскую бухту, и ограничивает их возможности.
3) ...
4) PROFIT!!

> Кстати, а как ты пролез на Opennet? Отключил блокирование HTTP-запросов?

Opennet внезапно поддерживает https.

> Твою ж мать...

Здесь та же фигня.

Демонстрационная страница выдала набор статистически наиболее часто посещаемых сайтов исходя из настроек языка, используемой операционной системы и браузера. Только вот незадача - ни на одном из них я никогда не бывал. О тематике догадываюсь исходя из названий )))

У меня всё достаточно точно определил. Может косвенно с этих сайтов у вас что-то открывалось?

У меня только letsencrypt.org совпал, остальное - какой-то хлам.

а у меня вообще ничего не определил - список сайтов есть, но я такие не посещал

> а у меня вообще ничего не определил - список сайтов есть, но
> я такие не посещал

Аналогично

Да фигня какая-то. Похоже на первоапрельский прикол

Возможно это список сайтов с которых грузились баннеры?

Удалось заставить работать, пришлось полностью отключит adblock plus в ff. Почти как вирусы под linux, под которые надо настроить окружение.

Пальцем в небо. Конечно все (кроме одного) эти сайты я когда-то открывал, но я открывал и сайты из правого списка, которые типа не посещал.

Возьмите сайт из правой части. Сходите туда. Вернитесь взад. Он окажется слева. Пробовал на qiwi.ru

Зашёл на https://savecrypto.org/ из правой части.

Потом перезагрузил эту тестовую страницу, выдал мне очередную ерунду:
notepad-plus-plus.org
giustizia.it
www.ing-diba.de
www.adreactor.com
briian.com
bitcoinwisdom.com
pass.yandex.kz
tjournal.ru

Мой UA: Mozilla/5.0 (X11; FreeBSD amd64; rv:36.0) Gecko/20100101 Firefox/36.0 SeaMonkey/2.33.1

Может у вас в Windows с Chrome всё и работает, так вам и надо, пользуйтесь нормальными ОС и браузерами и ваше безопасность и конфидециальность буду в порядке.

А может вы просто забыли что когда переходили на эти сайты или даже не знали, что на какой-то странице что-то загружалось?

Mozilla/5.0 (X11; Linux i686; rv:41.0) Gecko/20100101 Firefox/41.0

Специально поискал в истории и куках, нету этих сайтов и в помине. А вот с браузером Firefox такая штука реально вышла, зашёл на privat24.ua, и после этого на ту страницу и он был первым в левом списке. Но то что Firefox скатился и теперь не намного лучше Хромого я и так знал, а теперь ещё раз убедился.

> Firefox/36.0

Дружище, 36 фокс уже протух и воняет.

> так вам и надо, пользуйтесь нормальными ОС и браузерами

Нормальность твоя ясна

> Возьмите сайт из правой части. Сходите туда. Вернитесь взад. Он окажется слева.
> Пробовал на qiwi.ru

Взял из правой части adblockplus.org, зашел, перегрузил страницу - adblockplus.org так же в правой части.

>www.kickstarter.com
>lever.co
>www.yugster.com
>tripcase.com
>www.blueapron.com
>www.straighttalk.com
>stacksocial.com

Никогда в жизни на них не был.

UA: Mozilla/5.0 (X11; FreeBSD amd64; rv:36.0) Gecko/20100101 Firefox/36.0 SeaMonkey/2.33.1

Значит, на других (посещённых) сайтах были картинки/счётчики/лайкокнопки с вот этих сайтов.

ага, самих этих посещённых сайтов нету, а лайкокнопки с левых сайтов есть

Выставил в Firefox галку в "удалять настройки сайтов при выходе" и ничего эта страница не показывает. А до этого, если походить по сайтам из правой колонки, то они потом появлялисть в левой.

Аналогично. Настройки сайтов (Site Preferences) подчищает HSTS хвосты.
Mozilla/5.0 (X11; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0

Может, я что-то недопонимаю, но разве подчистка HSTS-следов не приводит к его (HSTS) бесполезности?

Нет.

> Please disable HTTPS Everywhere for best results.

Fail. Из-за этого слева какой-то рандом.

как обычно ничего не произошло. а потому что jsavascript — это не данность, а привилегия.

Насыпал три десятка сайтов, из которых мне не знаком ни один. Проверял со смартфона.

Не работает
http://images.vfl.ru/ii/1446005756/28f72c91/10312054.png

Стабильно показывает, что я был на всех сайтах, кроме одного случайного. Наверно надо вырубить request policy

Новый вид атак, ещё более надуманый, чем предыдущие.
Раз исследователи начали высасывать из пальца такие атаки, значит безопасность браузеров уже на очень хорошем уровне.

Firefox , SiteSecurityServiceState.txt - "только чтение" , заглянул на три десятка (сколько терпения хватило) сайтов из правого списка , перезагрузил браузер - не определилось ничего .

Среди сайтов, которые "Sites you've probably visited:"
ничего нет.

Но среди сайтов, которые я вероятнее всего не посещал
есть те, которые я посещал.

Или эксплойт лажа, или IE11 - суперзащищенный браузер

IE не поддерживает HSTS - определять нечего .

не работает у меня. утка

Из-за HTTPS-Everywhere выдал много лишнего мусора, но и пару специфичных сайтов тоже показал. Так что, к сожалению, сойдёт за очередной fingerprint.
А вот с HPKP надо что-то срочно делать.

Даже после разрешения скриптов, сайт, вселяющий благоговейный ужас в хомячков, выдал мне портянку исключительно из сайтов, на которые я не хожу. Оч-чень опасно...

Чудовищная уязвимость.
Уровня a:visited, просто -_-
Уже 20 минут пытается вычислить где же я был.

    >wikitech.wikimedia.org
    >land.nrw

Офигеть просто.
История в браузере года с 2010го не очищалась.

>Sites you probably haven't visited:
>qiwi.ru

Што. Час назад заходил.
В 43м ФФ может поломали чего?

Без HTTPS Everywhere работает. Список слева полностью верный:
vine.co
noscript.net
meduza.io
yande.re
www.englishforums.com
yadi.sk
www.maketecheasier.com
www.reddit.com
vc.ru
tjournal.ru
И ещё несколько, которые не хочу палить.

> И ещё несколько, которые не хочу палить.

porno.com мы и так знаем

> yande.re
> porno.com

Ну у кого что.

> yande.re

спасибо. единственный полезный камент из всего хлама.

Результаты сомнительны: дважды зайдя на этот сайт — вы уже "посетили" тот, который проверяют.

А у меня пусто на тестовой страничке. Туда с отключенными NoScript и Policeman надо ходить что ли?

80% сайтов тестовая страница определяет верно. Остальных, возможно, я попросту не помню.
ff 38.2

В новости говорится, что помогает снижение точности таймера.

// Отключает User Timing API - доступ к высокочастотному таймеру, при помощи которого может быть осуществлено прослушивание процессорного кэша из непривилегированного JS-кода.
// https://trac.torproject.org/projects/tor/ticket/16336
// http://www.html5rocks.com/en/tutorials/webperformance/userti.../
// https://www.linux.org.ru/news/security/11541326
// http://arxiv.org/pdf/1502.07373v2.pdf
user_pref("dom.enable_user_timing", false);
user_pref("dom.performance.enable_user_timing_logging", false);

Это оно?

как хорошо, что у нас в Pale Moon такой фигни нет и не было.

Ошибаетесь. Первый по дефолту - true, второй - false.

ты бы ещё лет 15 подождал перед написанием ответа.