Im Eintrag Browser Fingerprinting anhand GET Queue haben wir darauf hingewiesen, dass sich voraussichtlich ein charakteristisches Verhalten unterschiedlicher Browser in Bezug der Reihenfolge der Downloads eingebetteter Objekte beobachten lässt. Durch die Analyse dessen liesse sich mittels Application Fingerprinting das eingesetzte Produkt ausmachen.

Unsere Forschungsarbeiten haben erste Früchte getragen. Die ersten konkreten Resultate sollen hier nun publiziert werden. Wir verwendeten ein dynamisches HTML-Dokument, welches verschiedene HTML-Konstrukte beinhaltet, um auf eingebettete Objekte zu verweisen. Folgende Objekte sind, in der Reihenfolge ihrer Nennung im HTML-Quelltext, genutzt worden:

• f1: Favicon
• c1: CSS Dokument
• j1: Javascript Datei
• f2: Favicon
• c2: CSS Dokument
• j2: Javascript Datei
• b1: Bild
• b2: Bild in Tabellenzelle
• b3: Bild in Tabellenzelle
• b4: Bild in Tabellenzelle
• b5: Bild

Das Zugriffsverhalten darauf wird protokolliert (in unserem Fall in den Webserver-Logs) und ausgewertet. Um einen funktionalen Proof-of-Concept durchzusetzen, wurden Tests mit Mozilla Firefox 3.0.10 und Microsoft Internet Explorer 8.0.6001.18702 realisiert. Das charakteristische Verhalten dieser beiden Implementierungen soll folgend aufgelistet werden:

Mozilla Firefox 3.0.10:

• Die verlinkten Elemente im HEAD-Bereich werden immer in der dargebotenen Reihenfolge heruntergeladen.
• Das erstmalige Herunterladen von Bildern erfolgt in einer pseudo-zufälligen Reihenfolge. Dafür ist voraussichtlich das Multi-Threading verantwortlich.
• Ein neuerliches Herunterladen von Bildern, die sich schon im lokalen Cache befinden, findet hingegen immer in der exakten Reihenfolge der Nennung im HTML-Dokument statt.
• Durch das Multi-Threading werden sämtliche eingebetteten Objekte zeitnah heruntergeladen. Jedoch wird immer zum Schluss drei Sekunden später nocheinmal alle Favicons in zufälliger Reihenfolge geprüft.

Internet Explorer 8.0.6001.18702:

• Die verlinkten Elemente im HEAD-Bereich werden jeweils in einer pseudo-zufälligen Reihenfolge heruntergeladen.
• Das Herunterladen der Objekte im BODY-Bereich erfolgt stets (auch bei Reloads) in der exakten Reihenfolge ihrer Nennung.
• Es wird jeweils nur das erstgenannte Favicon heruntergeladen. Jedes weitere genannte Favicon wird immer ignoriert.
• Der Download des Favicons erfolgt in allen Fällen nur einmal und zwar unmittelbar am Schluss, nachdem alle anderen Objekte heruntergeladen wurden. Eine Zeitverzögerung wie bei Firefox konnte nie beobachtet werden.

Diese Unterscheidungen sind interessant. Nicht nur Zwecks Identifikation, sondern auch bezüglich der Performance der Browserengine. Da der Internet Explorer auf mehrere Favicons verzichtet und die neuerliche Prüfung dieser ebenfalls unterlässt, können mindestens eine Anfrage (in unserem Test sind es deren insgesamt drei) eingespart werden.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• http://www.microsoft.com/germany/windows/internet-explorer/default.aspx
• http://www.mozilla.com/firefox/