La mayor parte de los navegadores incluye desde hace tiempo la opción de navegación privada en la que hemos venido confiando para que no se almacenara el historial de navegación, cookies, etc.. pero como todo sistema tiene sus problemas y en un reciente POC se ha demostrado como utilizando una "supercookie" se puede rastrear nuestra navegación aún utilizando este modo de navegación privada.

Private-Browsing

 

En unos momentos en los que se está potenciando enormemente el uso de HTTPS, es paradojicamente un componente llamado HTTP Strict Transport Security, que se encarga de comprobar del lado del servidor que el usuario conecte a través de HTTPS, el que posibilita este trackeo por parte de una web.

La primera vez que visitamos una web que tenga activado el HSTS, el servidor web enviará a nuestro navegador un flag, en este caso un valor binario que el navegador almacenará, de esta manera a partir de esa primera carga de página nuestro navegador será redirigido por el servidor web a una dirección https:// tras haber leído la cookie anteriormente establecida en nuestro navegador. Ahora bien, este valor binario se puede manipular para almacenar un valor personalizado e identificar y seguir de esta manera la actividad de navegación. Es más, esta supercookie puede ser leída por terceros pudiendo tejer toda la información necesaria en cuanto a nuestros hábitos, vamos lo que la navegación privada intenta evitar.

Internet Explorer es por el momento el único navegador que se puede decir completamente a salvo de este problema, simplemente porque no soporta HSTS. Respecto al resto de navegadores, Firefox 34.0.5 al parecer ya implementa que las supercookies grabadas en navegación normal no puedan ser utilizadas en navegación privada. Respecto a Chrome y Safari por el momento son completamente vulnerables.

Fuente RadicalResearch