Mode Privasi Browser 'Tidak Begitu Swasta Setelah Semua

Semua browser utama memiliki mode privasi yang seharusnya untuk menutupi jejak pengguna setelah dia menyelesaikan sesi Internet, tetapi trio peneliti telah menemukan bahwa mode tersebut gagal untuk membersihkan semua jejak dari kegiatan surfer Net.

Misalnya, Mozilla Firefox memiliki sesuatu yang disebut "protokol pengendali khusus" yang membuat URL yang bertahan bahkan setelah pengguna meninggalkan mode privasi.

Karya seni: Peter dan Maria HoeySecure sertifikat juga dapat digunakan untuk menggagalkan tujuan mode privasi. Firefox, Internet Explorer, dan Safari semuanya mendukung penggunaan sertifikat klien SSL. Situs Web, melalui JavaScript, dapat memerintahkan browser untuk menghasilkan pasangan kunci publik / pribadi klien SSL. Pasangan kunci itu dipertahankan oleh browser bahkan setelah sesi privasi berakhir. Selain itu, jika sebuah situs menggunakan sertifikat yang ditandatangani sendiri, IE dan Safari akan menyimpannya secara lokal di lemari besi sertifikat Microsoft dan itu tetap ada ketika sesi privasi berakhir. Jadi siapa pun yang tahu di mana mencarinya dapat menemukannya dan mendapatkan sekilas perjalanan Internet pengguna.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Internet Explorer juga meniup penutup pengguna dalam privasi mode ketika memulai permintaan SMB dengan server Web. "Bahkan jika pengguna berada di belakang proxy, membersihkan status browser, dan menggunakan InPrivate, koneksi SMB mengidentifikasi pengguna ke situs remote," para peneliti - Gaurav Aggarwal dan Dan Boneh, dari Stanford University, dan Colin Jackson, dari Carnegie Mellon University - menulis dalam makalah yang dijadwalkan akan dipresentasikan minggu depan di Simposium Keamanan Usenix di Washington, DC

Namun, trio menemukan bahwa cacat SMB dapat diabaikan karena banyak ISP menyaring port SMB 445.

Mereka juga mengangkat bendera merah tentang potensi pengaya browser untuk merusak mode privasi. "Pengaya peramban (ekstensi dan plug-in) menimbulkan risiko privasi untuk penelusuran pribadi karena mereka dapat mempertahankan keadaan ke disk tentang perilaku pengguna dalam mode pribadi," tulis para peneliti.

"Pengembang pengaya ini mungkin tidak menganggap mode penjelajahan pribadi saat merancang perangkat lunak mereka dan kode sumbernya tidak tunduk pada pengawasan ketat yang sama yang dijelajahi browser, "tambahnya.

Para peneliti juga menemukan cara bagi Webmaster untuk menentukan apakah pengguna itu mengakses situs mereka dalam mode privasi. Mereka mengakui, bagaimanapun, bahwa teknik yang mereka gunakan mengeksploitasi serangan yang sudah diperbaiki di Safari, segera akan ditutup di Firefox, dan diharapkan akan segera ditutup di IE dan Chrome.

Intinya dari penelitian trio: Jangan lakukan apa pun dalam mode privasi yang tidak akan Anda lakukan dengan atasan Anda yang melongok ke belakang.