История изменений
Исправление SM5T001, (текущая версия) :
но у меня не получилось его воспроизвести
Судя по новым данным, всё оказалось несколько сложнее(нет, у меня с браузером порядок). Спасибо за участие, подробный отчёт я подготовлю и опубликую позднее, но вот спойлер: судя по всему, это странности с самой сетью.
и как вас мог демаскировать hsts?
Старая атака, поскольку браузер хранит данные по hsts в файле SiteSecurityServiceState.txt, оператор враждебного сайта может включать у себя на странице элементы со сторонних hsts-ресурсов, на лету отслеживая поведение браузера и определяя, таким образом(по отклику), какие домены уже были «запомнены» браузером. На этом принципе возможно создать своеобразную версию supercookie.
Давно пора добавить хотя бы в Tor Browser эмуляцию серверных HTTP-заголовков
Cache-Control: no-store
X-Frame-Options: deny
X-DNS-Prefetch-Control: off
X-Content-Type-Options: nosniff
X-Xss-Protection: 1
Referrer-Policy: no-referrer
Content-Security-Policy: default-src 'self'
Исправление SM5T001, :
но у меня не получилось его воспроизвести
Судя по новым данным, всё оказалось несколько сложнее(нет, у меня с браузером порядок). Спасибо за участие, подробный отчёт я подготовлю и опубликую позднее, но вот спойлер: судя по всему, это странности с самой сетью.
и как вас мог демаскировать hsts?
Старая атака, поскольку браузер хранит данные по hsts в файле SiteSecurityServiceState.txt, оператор враждебного сайта может включать у себя на странице элементы со сторонних hsts-ресурсов, на лету отслеживая поведение браузера и определяя, таким образом(по отклику), какие домены уже были «запомнены» браузером. На этом принципе возможно создать своеобразную версию supercookie.
Давно пора добавить хотя бы в Tor Browser эмуляцию серверных HTTP-заголовков
Cache-Control: no-store
X-Frame-Options: deny
X-DNS-Prefetch-Control: off
Server: Hidden service
X-Content-Type-Options: nosniff
X-Xss-Protection: 1
Connection: close
X-Robots-Tag: noindex, nofollow, noarchive, nosnippet, noimageindex
Referrer-Policy: no-referrer
Content-Security-Policy: default-src 'self'
Исправление SM5T001, :
но у меня не получилось его воспроизвести
Судя по новым данным, всё оказалось несколько сложнее(нет, у меня с браузером порядок). Спасибо за участие, подробный отчёт я подготовлю и опубликую позднее, но вот спойлер: судя по всему, это странности с самой сетью.
и как вас мог демаскировать hsts?
Старая атака, поскольку браузер хранит данные по hsts в файле SiteSecurityServiceState.txt, оператор враждебного сайта может включать у себя на странице элементы со сторонних hsts-ресурсов, на лету отслеживая поведение браузера и определяя, таким образом(по отклику), какие домены уже были «запомнены» браузером. На этом принципе возможно создать своеобразную версию supercookie.
Давно пора добавить хотя бы в Tor Browser эмуляцию серверных HTTP-заголовков
Cache-Control: no-store
X-Frame-Options: deny
X-DNS-Prefetch-Control: off
Server: Hidden service
X-Content-Type-Options: nosniff
X-Xss-Protection: 1
Connection: close
X-Robots-Tag: noindex, nofollow, noarchive, nosnippet, noimageindex
Referrer-Policy: no-referrer
Content-Security-Policy: default-src 'self'
Content-type: text/html
Исходная версия SM5T001, :
но у меня не получилось его воспроизвести
Судя по новым данным, всё оказалось несколько сложнее(нет, у меня с браузером порядок). Спасибо за участие, подробный отчёт я подготовлю и опубликую позднее, но вот спойлер: судя по всему, это странности с самой сетью.
и как вас мог демаскировать hsts?
Старая атака, поскольку браузер хранит данные по hsts в файле SiteSecurityServiceState.txt, оператор враждебного сайта может включать у себя на странице элементы со сторонних hsts-ресурсов, на лету отслеживая поведение браузера и определяя, таким образом(по отклику), какие домены уже были «запомнены» браузером. На этом принципе возможно создать своеобразную версию supercookie.
Давно пора добавить хотя бы в Tor Browser эмуляцию HTTP-заголовков
Cache-Control: no-store
X-Frame-Options: deny
X-DNS-Prefetch-Control: off
Server: Hidden service
X-Content-Type-Options: nosniff
X-Xss-Protection: 1
Connection: close
X-Robots-Tag: noindex, nofollow, noarchive, nosnippet, noimageindex
Referrer-Policy: no-referrer
Content-Security-Policy: default-src 'self'
Content-type: text/html