Konkrete Kritik an CVSS4
Marc Ruef
Im Eintrag Browser Fingerprinting anhand GET Queue haben wir darauf hingewiesen, dass sich voraussichtlich ein charakteristisches Verhalten unterschiedlicher Browser in Bezug der Reihenfolge der Downloads eingebetteter Objekte beobachten lässt. Durch die Analyse dessen liesse sich mittels Application Fingerprinting das eingesetzte Produkt ausmachen.
Unsere Forschungsarbeiten haben erste Früchte getragen. Die ersten konkreten Resultate sollen hier nun publiziert werden. Wir verwendeten ein dynamisches HTML-Dokument, welches verschiedene HTML-Konstrukte beinhaltet, um auf eingebettete Objekte zu verweisen. Folgende Objekte sind, in der Reihenfolge ihrer Nennung im HTML-Quelltext, genutzt worden:
Das Zugriffsverhalten darauf wird protokolliert (in unserem Fall in den Webserver-Logs) und ausgewertet. Um einen funktionalen Proof-of-Concept durchzusetzen, wurden Tests mit Mozilla Firefox 3.0.10 und Microsoft Internet Explorer 8.0.6001.18702 realisiert. Das charakteristische Verhalten dieser beiden Implementierungen soll folgend aufgelistet werden:
Mozilla Firefox 3.0.10:
Zugriff | Test 1 | Test 2 | Test 3 | Test 4 |
---|---|---|---|---|
1. | f1 | f1 | f1 | f1 |
2. | c1 | c1 | c1 | c1 |
3. | j1 | j1 | j1 | j1 |
4. | f2 | f2 | f2 | f2 |
5. | c2 | j2 | c2 | c2 |
6. | j2 | c2 | j2 | j2 |
7. | i3 | i1 | i1 | i1 |
8. | i1 | i2 | i2 | i2 |
9. | i2 | i3 | i3 | i3 |
10. | i4 | i4 | i4 | i5 |
11. | i5 | i5 | i5 | i4 |
12. | f1 | f2 | f2 | f2 |
13. | f2 | f1 | f1 | f1 |
Internet Explorer 8.0.6001.18702:
Zugriff | Test 1 | Test 2 | Test 3 | Test 4 |
---|---|---|---|---|
1. | c1 | j1 | c1 | c1 |
2. | j1 | c1 | j1 | j1 |
3. | c2 | c2 | j2 | c2 |
4. | j2 | j2 | c2 | j2 |
5. | i1 | i1 | i1 | i1 |
6. | i2 | i2 | i2 | i2 |
7. | i3 | i3 | i3 | i3 |
8. | i4 | i4 | i4 | i4 |
9. | i5 | i5 | i5 | i5 |
10. | f1 | f1 | f1 | f1 |
Diese Unterscheidungen sind interessant. Nicht nur Zwecks Identifikation, sondern auch bezüglich der Performance der Browserengine. Da der Internet Explorer auf mehrere Favicons verzichtet und die neuerliche Prüfung dieser ebenfalls unterlässt, können mindestens eine Anfrage (in unserem Test sind es deren insgesamt drei) eingespart werden.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!