SIKKERHET

Mange sosiale medier lekker at du er innlogget

Kan utnyttes av enhver webside.

Det kan være mange sosial medier og andre tjenester som nettleseren din nesten alltid er innlogget hos. Denne informasjonen kan brukes av andre nettsteder til å få vite mer om brukeren.
Det kan være mange sosial medier og andre tjenester som nettleseren din nesten alltid er innlogget hos. Denne informasjonen kan brukes av andre nettsteder til å få vite mer om brukeren. Bilde: Skjermbilde
Harald BrombachHarald BrombachNyhetsleder
6. nov. 2017 - 05:00

Mange nettsteder bruker informasjonskapsler (cookies) eller teknikker for at brukerne skal slippe å logge seg inn på nytt hver gang de kommer på besøk med den samme nettleseren. Mange vil vurdere det slik at det lille man taper i form av redusert sikkerhet med dette, veies opp av økt bekvemmelighet. 

Men denne bekvemmeligheten har en side som mange trolig ikke er klar over. Ethvert nettsted kan nemlig sjekke om du er innlogget på sosiale medier som Facebook, Twitter og Pinterest, men også tjenester som Gmail, Github, Reddit, Skype og en rekke andre. Men det kan også være tjenester som man ikke like åpent vil fortelle at man bruker.

Informasjonen kan brukes til å lage en profil av brukeren, et «sosial media-fingeravtrykk».

Ikke nytt

Det er mange år siden dette ble kjent i IT-sikkerhetsmiljøer, men det har vært lite omtalt i pressen, til tross for at det kan være nyttig for alle å være klar over at det finnes slike muligheter.

Robin Linus, en av utviklerne bak den nettleserbaserte blockchain-løsningen Nimiq, har lagd en webside som demonstrerer disse metodene ved å vise om brukeren er innlogget på ett eller flere av et 30-talls kjente nettsteder. 

Bilder

Normalt skal ikke et nettsted kunne registrere resultatet av spørringer til nettsteder med et annet domenenavn. Dette er en del av det som kalles for Same Origin Policy, som er implementert i alle nettlesere. Men dette gjelder tydeligvis ikke bilder. 

Dersom man forsøker å laste inn et bilde på en webside med det vanlige img-elementet, og bildet ikke av en eller annen grunn ikke kan vises, så kan websiden registrere dette ved hjelp av onerror-eventen: 

<img src="bilde.png" onerror="minFunksjon()">

Omdirigering

Men i mange tjenester er alle bildene tilgjengelige også for ikke-innloggede brukere. Derfor må man ta en omvei. Mange nettsteder har en omdirigeringsmekanisme knyttet til innloggingsfunksjonen, hvor det i nettadressen (URL-en) er mulig å oppgi den nettadressen som nettleseren skal omdirigeres til dersom brukeren allerede er innlogget. Denne kan gjerne være et bilde. 

Dersom brukeren er innlogget, vil nettleseren altså laste det nevnte bildet. Er brukeren derimot ikke innlogget, vil innloggingsskjemaet bli vist i stedet. Da vil bildeinnlastingen i det tidligere nevnte img-elementet feile. Og dette vil fortelle websiden med img-elementet om brukeren er innlogget eller ikke.

Men det er ikke alltid at dette går heller. For eksempel ligger ikke bildene til Facebook på www.facebook.com, men på en subdomene av fbcdn.net, og omdirigeringsfunksjonen tillater bare adresser med www.facebook.com som domene. Alle andre omdirigeringsforsøk leder www.facebook.com

Derimot er det ett bilde som veldig ofte ligger på et fast sted på webserveren, nemlig favicon.ico. Hos Facebook ligger dette her: https://www.facebook.com/favicon.ico.

Eksempel

Ved å bruke følgende bildetagg på en vilkårlig webside, kan man raskt se om den aktuelle brukeren er innlogget hos Facebook eller ikke. 

<img onload="alert('logged in to fb')" onerror="alert('not logged in to fb')" src="https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico">


Linus har vært i kontakt med flere av de berørte tjenestene. Ingen av dem mener at risikoen med dette er så stor at det er nødvendig å gjøre noe. 

Det betyr ikke at det er like greit om dette også skjer med for eksempel porno- eller datingnettsteder. 

Det finnes nettleserutvidelser som kan beskytte mot dette. Linux nevner uMatrix og Privacy Badger. Men for mange kan det være like greit å skru av støtten for tredjepartscookies. Hvordan dette gjøres, varierer fra nettleser til nettleser, men alle de vanligste nettleserne har dette valget i innstillingene.

Les også: EU-forslag kan føre til reduserte sporings­muligheter på tvers av nettsteder

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra