Browser Fingerprinting - Anhand der GET-Queue: Erste Resultate

Browser Fingerprinting - Anhand der GET-Queue

Erste Resultate

Marc Ruef
von Marc Ruef
Lesezeit: 6 Minuten

Im Eintrag Browser Fingerprinting anhand GET Queue haben wir darauf hingewiesen, dass sich voraussichtlich ein charakteristisches Verhalten unterschiedlicher Browser in Bezug der Reihenfolge der Downloads eingebetteter Objekte beobachten lässt. Durch die Analyse dessen liesse sich mittels Application Fingerprinting das eingesetzte Produkt ausmachen.

Unsere Forschungsarbeiten haben erste Früchte getragen. Die ersten konkreten Resultate sollen hier nun publiziert werden. Wir verwendeten ein dynamisches HTML-Dokument, welches verschiedene HTML-Konstrukte beinhaltet, um auf eingebettete Objekte zu verweisen. Folgende Objekte sind, in der Reihenfolge ihrer Nennung im HTML-Quelltext, genutzt worden:

Das Zugriffsverhalten darauf wird protokolliert (in unserem Fall in den Webserver-Logs) und ausgewertet. Um einen funktionalen Proof-of-Concept durchzusetzen, wurden Tests mit Mozilla Firefox 3.0.10 und Microsoft Internet Explorer 8.0.6001.18702 realisiert. Das charakteristische Verhalten dieser beiden Implementierungen soll folgend aufgelistet werden:

Mozilla Firefox 3.0.10:

Zugriff Test 1 Test 2 Test 3 Test 4
1. f1 f1 f1 f1
2. c1 c1 c1 c1
3. j1 j1 j1 j1
4. f2 f2 f2 f2
5. c2 j2 c2 c2
6. j2 c2 j2 j2
7. i3 i1 i1 i1
8. i1 i2 i2 i2
9. i2 i3 i3 i3
10. i4 i4 i4 i5
11. i5 i5 i5 i4
12. f1 f2 f2 f2
13. f2 f1 f1 f1

Internet Explorer 8.0.6001.18702:

Zugriff Test 1 Test 2 Test 3 Test 4
1. c1 j1 c1 c1
2. j1 c1 j1 j1
3. c2 c2 j2 c2
4. j2 j2 c2 j2
5. i1 i1 i1 i1
6. i2 i2 i2 i2
7. i3 i3 i3 i3
8. i4 i4 i4 i4
9. i5 i5 i5 i5
10. f1 f1 f1 f1

Diese Unterscheidungen sind interessant. Nicht nur Zwecks Identifikation, sondern auch bezüglich der Performance der Browserengine. Da der Internet Explorer auf mehrere Favicons verzichtet und die neuerliche Prüfung dieser ebenfalls unterlässt, können mindestens eine Anfrage (in unserem Test sind es deren insgesamt drei) eingespart werden.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv