IP-check http authentication test - wirklich 'protected'?

Wenn mal was nicht funktioniert...
Post Reply
Al3ph
Posts: 140
Joined: Sun Aug 11, 2013 20:41

IP-check http authentication test - wirklich 'protected'?

Post by Al3ph » Thu Jun 15, 2017 22:21

Ich habe eine Frage zum IP check - http basic authentication Test.

Normalerweise ist mit dem TorBrowser das Feld 'Authenitcation' grün und liefert die Ausgabe 'Protected'.

Mit Tails_3.0 / TBB_7.0.1 habe ich nun auf einmal ein rotes Feld mit einer eindeutigen ID die auch in der Tat bei reloads, gewechseltem Tor circuit und in allen tabs gleich bleibt bis man den Browser schließt oder 'new identity' wählt. Auch gibt es kein login mehr das man mit 'cancel' wegklicken muss.

Jetzt aber das wirklich interessante.
Ich habe das Ganze mit Tails_2.12 / TBB_6.5.2 verglichen um einen Unterschied in den settings zu finden was mir aber nicht gelang. Ich habe dann einige andere http-Auth Testseiten besucht und siehe da, sowohl der neue, als auch der alte TorBrowser, welcher im IP check 'Authentication' als 'Protected' anzeigt speichern login-Daten und senden diese bei erneutem Besuch der Seite ohne login!

Seite zum Testen:

https://www.httpwatch.com/httpgallery/authentication/

Ber 'Example10' als login 'httpwatch' und ein selbst gewähltes Passwort eingeben. Das Bild bleibt auch bei reload der Seite mit einem neuen Tor circuit gleich.

Was genau hat es also mit der 'geschützen' http basic auth eigentlich auf sich?
Wird hier nur 'protected' angezeigt weil sich die ID mit einer neuen Identität löschen lässt? gespeichert schein sie in jedem Fall zu werden.

Leider habe ich keinerlei Möglichkeiten gefunden den Spaß komplett abzuschalten. Ich brauche das eigentlich nie aber wie sich zeigt ist es mit diesem 'feature' möglich dass eine Webseite ohne JS oder cookies und auch ohne login eine persistente ID zuweist. Wie im IP-check steht halte ich das für eine massive Schwachstelle die so nicht existieren sollte. Noch schlimmer ist aber dass offenbar bislang vorgegaukelt wurde dass alles sicher sei, obwohl die einzige Möglichkeit um die http-auth ID zu löschen ein Schließen des Browsers oder 'new identity' ist, was auf das gleiche hinausläuft. Ansonsten bleibt man auf Seiten die http auth nutzen eindeutig identifizierbar

Ist das wirklich so oder habe ich da was grundlegend falsch verstanden?

Al3ph
Posts: 140
Joined: Sun Aug 11, 2013 20:41

Re: IP-check http authentication test - wirklich 'protected'

Post by Al3ph » Fri Jun 16, 2017 21:11

Ok, ich habe jetzt folgendes im Torproject blog zu TorBrowser 7.0.1 gefungen:
https://blog.torproject.org/blog/tor-br ... 1-released


Let's assume you have domain A in your URL bar which embedds an iframe C doing the tracking trick ip-check.info deploys. In Tor Browser < 7 we did not allow A reading authentication credentials C tried to set which is why the ip-check test showed a green result. Think about forbidding 3rd party cookies which is basically the same. Now while this is blocking tracking across domains (e.g. if C were embedded in a different URL bar domain B as well) the downside is that it may break some sites, e.g. if A tries to access that information which is usually available.

In Tor Browser 7 we changed that by allowing A to access the HTTP auth saved by C which is all the ip-check test checks (and hence is showing you the scary warning now) BUT we prevented at the same time B from reading that value saved by C formerly while the user has been on A. Thus, tracking across domains (across A and B) is prevented, but the ip-check needs an update to take that into account. If you want to have a test, take the one Arthur has written in https://trac.torproject.org/projects/to ... #comment:2. It's not so fancy, yes, but it tests what is actually happening.


Soll heißen:
IP-check ist noch nicht auf die neue Methode eingestellt.

ABER:
Die ID wird in jedem Fall zugewiesen.
'Protected' bedeutet dass diese nicht an andere domains weitergereicht wird was ein tracking des Nutzers erlauben würde wie 3rd party cookies.

In jedem Fall wird aber das Equivalent eines 1st party cookies gesetzt gegen das man sich nicht wehren kann, das man nicht sehen kann und für das es auch keinen Hinweis gibt (kein login-prompt!)
Das heißt eine Webseite kann einen Nutzer zumindest auf ihrer domain verfolgen / wiedererkennen, auch wenn dieser einen neuen tor-circuit wählt. Nur 'new identity' löscht die ID.

Ich weiß es heißt jetzt wieder 'it's not a bug, it's a feature' aber es wäre doch interessant ob man das Ganze nicht komplett deaktivieren bzw. so lösen könnte, dass man das Senden der authentication explizit erlauben muss.

Falls hier noch irgendjemand mitliest würde mich eure Meinung zu http basic auth interessieren.

Auth
Posts: 1
Joined: Sat Jul 08, 2017 7:13

Re: IP-check http authentication test - wirklich 'protected'

Post by Auth » Sat Jul 08, 2017 7:31

Interessante Sache!
Ich kenne mich mit den Details der Übertragungstechnik nicht gut aus, deshalb ein paar Fragen:

Gibt es das Problem nur bei einer http-Verbindung oder auch über https?

Wer kann diese Authenitcation-ID lesen:
Ich denke der Tor-Entry-Node nicht, egal ob http oder https?
Der Tor-Exit-Node vielleicht? Bei http doch auf jeden Fall?
Dann natürlich der Admin der aufgerufenen Seite.

Was bei mir "hängen" bleibt:
Spätestens beim Aufruf neuer Seiten werde ich den Browser neu starten.
Funktioniert das auch bei Tails? Ich kann mich erinnern, dass die Tails-Entwickler früher empfohlen haben, keine neue IP nur für den Browser anzufordern, sondern, damit alles auch mit den anderen Anwendungen in Tails konsistent bleibt, Tails ganz neu zu starten.

Post Reply