This article in English .pdf / .doc

Celo na nekaterih varnostnih seminarjih v Sloveniji sem večkrat slišal kako pravi “hackerji” uporabljajo Google cache za pregled spletne strani žrtve brez, da bi pustili sledi svojih IP naslovov na žrtvinem strežniku.
V resnici temu ni tako, saj Google Cache vseeno ne shranjuje vsega in ob povezavi na Googlov link “Cached” oziroma “Posnetek” se določeni paketki vsmerijo tudi na “online” različico spletne strani. To se lahko lepo vidi iz dveh primerov narejenih s programom tcpdump.

Izsek prometa – IP:port to IP:port
Na prvem primeru lahko vidimo povezave na vrata 80 – v prvih vrsticah prihaja do komunikacije s Googlovimi strežniki v peti vrstici pa vidimo povezavo na IP naslov spletne strani, ki smo jo želeli gledati skozi “posnetek” oziroma “cache”.

“TCP stream” HTTP izpis

Na drugem primeru pa lahko vidimo izsek HTTP prometa iz katerega je jasno razvidno, da tekstovno vsebino strani prejemamo iz Googlovih Cache strežnikov, slike pa vseeno pobiramo z “originalne” spletne strani. V tem koraku se lahko vprašamo o naši anonimnosti, saj se je v tem primeru na spletnem strežniku, kjer gostuje spletna stran, ki smo si jo želeli ogledati skozi Googlov “posnetek” zabeležil naš IP naslov v trenutku, ko smo iz njega začeli pobirati slike. Še huje! Med 6 in 12 vrstico je jasno videti da smo strežniku, ki gostuje “originalno” spletno stran poslali REFERER polje iz katerega je razvidno, da smo si spletno stran želeli ogledati preko Google “posnetka”.
Za ohranjanje aninimnosti torej Google Cache NI primerna rešitev, svetujem ogled spletne strani http://tor.eff.org/ projekta TOR – Anonymity online.