Mange nettsteder bruker informasjonskapsler (cookies) eller teknikker for at brukerne skal slippe å logge seg inn på nytt hver gang de kommer på besøk med den samme nettleseren. Mange vil vurdere det slik at det lille man taper i form av redusert sikkerhet med dette, veies opp av økt bekvemmelighet.
Men denne bekvemmeligheten har en side som mange trolig ikke er klar over. Ethvert nettsted kan nemlig sjekke om du er innlogget på sosiale medier som Facebook, Twitter og Pinterest, men også tjenester som Gmail, Github, Reddit, Skype og en rekke andre. Men det kan også være tjenester som man ikke like åpent vil fortelle at man bruker.
Informasjonen kan brukes til å lage en profil av brukeren, et «sosial media-fingeravtrykk».
Ikke nytt
Det er mange år siden dette ble kjent i IT-sikkerhetsmiljøer, men det har vært lite omtalt i pressen, til tross for at det kan være nyttig for alle å være klar over at det finnes slike muligheter.
Robin Linus, en av utviklerne bak den nettleserbaserte blockchain-løsningen Nimiq, har lagd en webside som demonstrerer disse metodene ved å vise om brukeren er innlogget på ett eller flere av et 30-talls kjente nettsteder.
Bilder
Normalt skal ikke et nettsted kunne registrere resultatet av spørringer til nettsteder med et annet domenenavn. Dette er en del av det som kalles for Same Origin Policy, som er implementert i alle nettlesere. Men dette gjelder tydeligvis ikke bilder.
Dersom man forsøker å laste inn et bilde på en webside med det vanlige img-elementet, og bildet ikke av en eller annen grunn ikke kan vises, så kan websiden registrere dette ved hjelp av onerror-eventen:
<img src="bilde.png" onerror="minFunksjon()">
Omdirigering
Men i mange tjenester er alle bildene tilgjengelige også for ikke-innloggede brukere. Derfor må man ta en omvei. Mange nettsteder har en omdirigeringsmekanisme knyttet til innloggingsfunksjonen, hvor det i nettadressen (URL-en) er mulig å oppgi den nettadressen som nettleseren skal omdirigeres til dersom brukeren allerede er innlogget. Denne kan gjerne være et bilde.
Dersom brukeren er innlogget, vil nettleseren altså laste det nevnte bildet. Er brukeren derimot ikke innlogget, vil innloggingsskjemaet bli vist i stedet. Da vil bildeinnlastingen i det tidligere nevnte img-elementet feile. Og dette vil fortelle websiden med img-elementet om brukeren er innlogget eller ikke.
Men det er ikke alltid at dette går heller. For eksempel ligger ikke bildene til Facebook på www.facebook.com, men på en subdomene av fbcdn.net, og omdirigeringsfunksjonen tillater bare adresser med www.facebook.com som domene. Alle andre omdirigeringsforsøk leder www.facebook.com.
Derimot er det ett bilde som veldig ofte ligger på et fast sted på webserveren, nemlig favicon.ico. Hos Facebook ligger dette her: https://www.facebook.com/favicon.ico.
Eksempel
Ved å bruke følgende bildetagg på en vilkårlig webside, kan man raskt se om den aktuelle brukeren er innlogget hos Facebook eller ikke.
<img onload="alert('logged in to fb')" onerror="alert('not logged in to fb')"
src="https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico">
Linus har vært i kontakt med flere av de berørte tjenestene. Ingen av dem mener at risikoen med dette er så stor at det er nødvendig å gjøre noe.
Det betyr ikke at det er like greit om dette også skjer med for eksempel porno- eller datingnettsteder.
Det finnes nettleserutvidelser som kan beskytte mot dette. Linux nevner uMatrix og Privacy Badger. Men for mange kan det være like greit å skru av støtten for tredjepartscookies. Hvordan dette gjøres, varierer fra nettleser til nettleser, men alle de vanligste nettleserne har dette valget i innstillingene.
Les også: EU-forslag kan føre til reduserte sporingsmuligheter på tvers av nettsteder